**El grupo Akira eleva su arsenal: nuevas herramientas y vulnerabilidades amplían su radio de ataque**

—

### Introducción

En los últimos meses, el grupo Akira, conocido por su actividad como operador de ransomware, ha intensificado sus operaciones, incorporando herramientas y técnicas novedosas que han incrementado su capacidad de comprometer infraestructuras críticas y sectores estratégicos. Este artículo desglosa los avances técnicos observados en las campañas recientes de Akira, sus implicaciones para el ecosistema de ciberseguridad y las mejores prácticas para mitigar este tipo de amenazas.

—

### Contexto del Incidente o Vulnerabilidad

Desde su aparición en 2023, Akira ha evolucionado rápidamente, posicionándose como una de las variantes de ransomware más activas en el panorama internacional. Según datos del primer semestre de 2024, el grupo ha conseguido comprometer organizaciones de sectores como manufactura, servicios financieros, sanidad y administración pública, con un énfasis creciente en infraestructuras críticas europeas y norteamericanas.

Recientemente, investigadores han detectado que Akira no solo está actualizando su carga maliciosa, sino que también está experimentando con métodos de acceso inicial y movimiento lateral, diversificando su arsenal para maximizar la eficiencia de sus campañas y evadir las defensas tradicionales.

—

### Detalles Técnicos

Akira ha incorporado nuevas vulnerabilidades (CVE) y herramientas en su cadena de ataque, adaptando sus TTPs (Tactics, Techniques, and Procedures) en línea con el framework MITRE ATT&CK. Destacan los siguientes aspectos:

– **Vectores de ataque:** El grupo sigue explotando credenciales comprometidas y accesos RDP sin protección, pero se ha observado el uso de exploits para vulnerabilidades recientes como CVE-2023-34362 (MOVEit Transfer) y CVE-2022-47966 (Zoho ManageEngine).
– **Herramientas y frameworks:** Akira utiliza herramientas personalizadas para el cifrado, pero ha comenzado a integrar módulos compatibles con Cobalt Strike y Metasploit para el movimiento lateral y la persistencia. También se han detectado scripts PowerShell ofuscados y utilidades como Mimikatz para la extracción de credenciales.
– **TTP MITRE ATT&CK:** Destacan técnicas como T1078 (Access via Valid Accounts), T1021.001 (Remote Services: RDP), T1486 (Data Encrypted for Impact) y T1569.002 (Service Execution: Windows Services).
– **Indicadores de Compromiso (IoC):** Se han identificado hashes SHA256 de las cargas cifradoras más recientes, direcciones IP asociadas a infraestructura de C2 en Europa del Este y patrones de archivos con extensión .akira.
– **Exfiltración y doble extorsión:** La amenaza va más allá del cifrado; Akira emplea mecanismos de exfiltración de información mediante FTP y HTTPs, apoyándose en servicios legítimos como Mega.io, lo que refuerza la modalidad de doble extorsión.

—

### Impacto y Riesgos

El grupo Akira ha provocado incidentes con consecuencias económicas significativas. Según estimaciones de Chainalysis, solo en el segundo trimestre de 2024, los pagos asociados a Akira superan los 40 millones de dólares. En torno al 18% de las víctimas pertenecen a sectores regulados bajo GDPR y NIS2, lo que incrementa el riesgo de sanciones administrativas por fallos en la protección de datos.

El radio de acción de Akira se ha ampliado: ya no sólo afecta a grandes corporaciones sino también a pymes y entidades del sector público. La sofisticación de sus métodos de acceso inicial y la variedad de exploits utilizados incrementan el riesgo de que sistemas parcheados de forma irregular sean comprometidos.

—

### Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo ante Akira y otros grupos de ransomware avanzados, los expertos recomiendan:

– **Actualización y parcheo inmediato** de todos los sistemas, prestando atención a vulnerabilidades críticas como las mencionadas CVE-2023-34362 y CVE-2022-47966.
– **Segmentación de red** y restricción del acceso RDP, preferiblemente mediante VPN y autenticación multifactor (MFA).
– **Monitorización proactiva** de logs y tráfico de red en busca de IoC conocidos, así como el uso de EDRs capaces de detectar actividades sospechosas asociadas a Cobalt Strike y Metasploit.
– **Backups offline** y pruebas regulares de restauración para garantizar la continuidad del negocio en caso de cifrado.
– **Concienciación y formación** continua para empleados, especialmente en la identificación de intentos de phishing y acceso no autorizado.

—

### Opinión de Expertos

Analistas de Mandiant y S21sec coinciden en que Akira representa la madurez de los modelos Ransomware-as-a-Service (RaaS), al combinar técnicas sofisticadas con una rápida adopción de vulnerabilidades día cero. Según Pablo López, CISO de una entidad financiera europea, “la versatilidad de Akira y su capacidad para pivotar entre vulnerabilidades y herramientas comerciales como Cobalt Strike lo convierten en un adversario especialmente peligroso”.

—

### Implicaciones para Empresas y Usuarios

Bajo el marco regulatorio europeo, la exposición al ransomware de Akira puede suponer, además de la interrupción operativa, sanciones por incumplimiento de la GDPR o la nueva directiva NIS2. Las organizaciones deben asumir que la protección perimetral tradicional resulta insuficiente y adoptar un enfoque Zero Trust, así como invertir en soluciones de detección y respuesta avanzadas.

Para los usuarios, la principal recomendación es la cautela ante correos y enlaces sospechosos, y la utilización de contraseñas robustas y únicas combinadas con MFA.

—

### Conclusiones

El grupo Akira continúa evolucionando, integrando nuevas herramientas, bugs y vectores de ataque en sus operaciones. Su éxito reciente en sectores estratégicos subraya la necesidad de una defensa multicapa y una vigilancia constante en la gestión de vulnerabilidades. Las organizaciones deben reforzar sus controles técnicos y de concienciación para mitigar los riesgos de este actor, que representa una amenaza real y en constante adaptación.

(Fuente: www.darkreading.com)