El grupo de ransomware Akira acumula 244 millones de dólares explotando fallos en SonicWall y cifrando VM de Nutanix AHV

Introducción

El ransomware Akira ha incrementado notablemente su actividad durante 2024, consolidándose como una de las amenazas más sofisticadas y lucrativas del panorama actual. Recientes investigaciones han evidenciado cómo este grupo ha explotado vulnerabilidades en dispositivos SonicWall y ha logrado cifrar archivos de disco de máquinas virtuales Nutanix Acropolis Hypervisor (AHV), generando un impacto significativo en organizaciones de múltiples sectores. Según datos recientes, Akira ha conseguido recaudar aproximadamente 244 millones de dólares en pagos de rescate, situándose entre los grupos de ransomware más rentables del último año.

Contexto del Incidente o Vulnerabilidad

A lo largo del presente año, Akira ha centrado parte de sus operaciones en la identificación y explotación de fallos en dispositivos de seguridad perimetral, especialmente aquellos de SonicWall. Estos dispositivos, ampliamente desplegados en entornos empresariales para la gestión de accesos y la protección perimetral, han presentado vulnerabilidades críticas que han sido objetivo de ataques dirigidos. Paralelamente, el grupo ha demostrado su capacidad para comprometer entornos virtualizados, destacando su reciente capacidad para cifrar archivos de disco de máquinas virtuales Nutanix AHV, una plataforma muy utilizada en infraestructuras hiperconvergentes.

Detalles Técnicos

Las campañas atribuidas a Akira han aprovechado vulnerabilidades documentadas en dispositivos SonicWall, destacando la explotación de CVE-2022-22280 y CVE-2021-20038. Ambas permiten la ejecución remota de código y la obtención de credenciales privilegiadas a través de vectores que incluyen la inyección de comandos y la manipulación de servicios expuestos por el firewall.

Una vez obtenida la persistencia en la red interna, los operadores de Akira emplean técnicas asociadas con el framework MITRE ATT&CK, como la ejecución de comandos y scripts (T1059), el movimiento lateral mediante SMB/Windows Admin Shares (T1021.002) y la exfiltración de datos previa al cifrado (T1041). En los entornos virtualizados con Nutanix AHV, Akira ha demostrado la capacidad de identificar y cifrar archivos .qcow2, que corresponden a los discos virtuales de las máquinas alojadas, inutilizando múltiples servicios críticos de forma simultánea.

Se ha observado el uso de herramientas como Cobalt Strike para el post-explotación y el despliegue del payload de ransomware. Asimismo, existen evidencias de que Akira ha utilizado exploits públicos y privados contra SonicWall, y que una vez dentro de la red, emplea técnicas de living-off-the-land, minimizando la detección por soluciones EDR y SIEM tradicionales.

Impacto y Riesgos

El impacto de estos ataques es severo: afecta tanto a la disponibilidad de servicios críticos como a la integridad de los datos corporativos. El cifrado de máquinas virtuales Nutanix AHV representa una amenaza significativa para entornos de alta densidad y servicios críticos, ya que puede causar la interrupción simultánea de decenas o cientos de servicios virtualizados. Las cifras publicadas apuntan a que Akira ha extorsionado a más de 250 organizaciones, logrando una tasa de éxito en el cobro de rescates superior al 40% y generando ingresos estimados en 244 millones de dólares.

Además del impacto operacional y económico, la exposición de datos sensibles antes del cifrado incrementa el riesgo de incumplimiento normativo, especialmente en el marco del GDPR y la inminente aplicación de la directiva NIS2.

Medidas de Mitigación y Recomendaciones

Las organizaciones deben priorizar la actualización inmediata de los dispositivos SonicWall a las versiones corregidas y revisar las configuraciones de seguridad para minimizar la exposición de servicios innecesarios. Se recomienda:

– Aplicar los últimos parches de seguridad en SonicWall (especialmente para CVE-2021-20038 y CVE-2022-22280).
– Limitar el acceso a la interfaz de administración de SonicWall a redes internas y restringidas.
– Implementar autenticación multifactor (MFA) en todos los accesos remotos y administrativos.
– Asegurar la segmentación de la red y el principio de mínimo privilegio.
– Realizar copias de seguridad periódicas y verificar su integridad y aislamiento.
– Monitorizar indicadores de compromiso (IoC) asociados a Akira y sus herramientas de acceso remoto, incluyendo la actividad de Cobalt Strike y tráfico anómalo SMB.

Opinión de Expertos

Expertos en ciberseguridad como los analistas de Mandiant y Sophos han señalado que el enfoque de Akira sobre infraestructuras virtualizadas evidencia una tendencia preocupante hacia el targeting de entornos cloud y on-premise hiperconvergentes. Además, se destaca la profesionalización del grupo, que utiliza negociadores y canales de comunicación cifrados, y la integración de técnicas de doble extorsión como estándar.

Implicaciones para Empresas y Usuarios

Las empresas deben considerar estos ataques como una llamada de atención para reforzar sus políticas de seguridad perimetral y de virtualización. La amenaza no solo reside en el cifrado, sino en la potencial fuga de datos y el daño reputacional asociado. La directiva NIS2 y el GDPR imponen obligaciones estrictas en cuanto a la notificación de incidentes y la protección de datos, lo que puede traducirse en sanciones económicas y pérdida de confianza por parte de clientes y partners.

Conclusiones

El éxito operativo y económico de Akira en 2024 subraya la necesidad de adoptar una postura proactiva ante amenazas ransomware avanzadas. La explotación de vulnerabilidades en SonicWall y el ataque a infraestructuras Nutanix AHV demuestran que el espectro de objetivos se amplía y sofisticada. La coordinación entre equipos de ciberseguridad, la actualización continua y la concienciación de los usuarios serán claves para mitigar el impacto de futuras campañas de ransomware.

(Fuente: www.securityweek.com)