Los atacantes del ransomware Akira están desarrollando una variante de Rust que ataca a los servidores ESXi. Observado por primera vez en marzo de 2023, está dirigido a sistemas Windows y Linux. Este virus apareció por primera vez en marzo de 2023 y se dirige tanto a sistemas Windows como a Linux.
Emplea tácticas de doble extorsión y ha afectado a muchas organizaciones, especialmente en Estados Unidos. Los analistas de ciberseguridad de Cisco Talos identificaron recientemente que los atacantes del ransomware Akira están desarrollando activamente variantes Rust de Akira para atacar servidores ESXi.
Akira ransomware se ha establecido como una amenaza cibernética desafiante y sus métodos de ataque evolucionaron enormemente a lo largo de 2024.
Nueva variante Rust del ransomware Akira
La arquitectura técnica del ransomware sufrió una “transformación” significativa al pasar del lenguaje de programación “C++” al lenguaje de programación “Rust”.
Únase al seminario web gratuito de ANY.RUN sobre cómo mejorar su investigación de amenazas el 23 de octubre: regístrese aquí
Esto ocurre específicamente con la “Variante criptográfica ESXi” (“versión 2024.1.30”), que ahora utiliza la “biblioteca Rust-crypto 0.3.26” en lugar de la “biblioteca Crypto++” anterior.
Los operadores de Akira están explotando activamente vulnerabilidades críticas como CVE-2024-40766 en SonicWall SonicOS, CVE-2023-20269 en Cisco VPN Services y CVE-2023-48788 en FortiClientEMS Software y obtuvieron acceso no autorizado.
Una vez dentro de la red, “PowerShell script” para recopilar credenciales, “WMI” para eliminar instantáneas del sistema (“Get-WmiObject Win32_Shadowcopy | Remove-WmiObject”), “RDP” para movimiento lateral, etc. Se utiliza tecnología avanzada.
Este ransomware es la última variante que utiliza la extensión distintiva “akiranew” en archivos cifrados e implementa el programa de cifrado Megazord junto con la carga útil principal, y está disponible en entornos Windows y Linux evolucionados para atacar.
Su cadena de ataque comienza con “comprometer las credenciales de VPN” y “explotar dispositivos de red”, seguido de una “escalada de privilegios” con herramientas como Veeam.Backup.
MountService.exe. El objetivo son organizaciones principalmente de los sectores de fabricación y servicios técnicos profesionales.
Para ello, mantiene la persistencia mediante técnicas de evasión avanzadas como el “relleno binario” y la “manipulación de herramientas de seguridad”.
Además de esto, el grupo de ransomware Akira parece estar alejándose estratégicamente de la “variante Akira v2 basada en Rust”. En cambio, estamos volviendo a un enfoque de programación tradicional en C++ para herramientas criptográficas tanto de Windows como de Linux.
Cronología del desarrollo de la carga útil de Akira (Fuente: Cisco Talos)
Este cambio táctico prioriza la confiabilidad operativa sobre la innovación. Estos se descubrieron utilizando extensiones y notas familiares, como lo demuestran sus “Muestras de septiembre de 2024”.
Nota de rescate con extensión de archivo .akira akira_readme.txt
Con menos operaciones trimestrales, el grupo ha mejorado su enfoque mediante la implementación del cifrado de flujo “ChaCha8”, que realiza operaciones criptográficas de manera más eficiente que el algoritmo “ChaCha20” utilizado anteriormente, según el informe.
La versión de Windows incluye nuevos argumentos como “-localonly'' y “-exclude'' para evitar el cifrado de rutas del sistema como “$Recycle.Bin'' e “System Volume Information''.
La versión de Linux mantiene el argumento “-fork” para crear procesos secundarios durante el cifrado, dirigidos a extensiones de archivos específicas como:
.4d .abd .abx .ade .ckp .db .dddpl .dx .edb .fo .ib .idb .mdn .mud .nv .pdb .sq .te .ud .vdh
Para hacer las operaciones más eficientes, el grupo ha reducido gradualmente su conjunto de herramientas, siendo la más reciente “Megazord” para su uso en entornos Windows. Su enfoque estratégico sigue siendo atacar los entornos ESXi y Linux de VMWare.
Estas plataformas permiten cifrar múltiples máquinas virtuales y cargas de trabajo críticas simultáneamente mediante archivos “vmdk”. Esto maximiza el impacto operativo y al mismo tiempo minimiza la necesidad de grandes movimientos laterales o robo de credenciales dentro de la red objetivo.
Recomendaciones
Hemos enumerado todas las recomendaciones a continuación: –
Evalúe periódicamente las vulnerabilidades y aplique parches de seguridad a sus hosts ESXi. Aplique políticas de contraseñas seguras y habilite MFA. Introduciremos “SIEM” y “EDR/XDR” para monitoreo y respuesta continuos a amenazas. Interfaz ESXi segura con control de acceso, MFA y RBAC. Deshabilite el acceso WMI innecesario y supervise los comandos WMI. Evite volcados de credenciales con Windows Defender Credential Guard.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
