La compañía tecnológica BlackBerry ha publicado un informe donde revela que el conocido y peligroso ransomware Akira está siendo usado por uno de sus afiliados para atacar a varias víctimas de 'altos vuelos': en concreto, al sector de las aerolíneas latinoamericano.
Un actor de amenazas accedió inicialmente a la red mediante el protocolo Secure Shell (SSH) y logró exfiltrar datos críticos antes de implementar una variante de ransomware Akira al día siguiente, según destaca la compañía de la zarzamora.
Cuando el atacante pudo exfiltrar datos, implementó el ransomware para cifrar e incapacitar los sistemas de la víctima.
El gigante tecnológico muestra que el incidente ocurrió durante el período de dos días, aunque el actor de amenazas tuvo su 'horario laboral' y especula con que sus autores podrían residir en Europa occidental.
Así creen que el haber tenido como objetivo a una víctima de Latinoamérica muestra la voluntad de la banda de atacar otras regiones, si alguna organización no aplica parches a los exploits divulgados utilizados por el actor.
"Vale la pena señalar que en este incidente, el software interno también estaba críticamente desactualizado, lo que dejó vulnerabilidades importantes que fueron explotadas por el actor de amenazas una vez que se vulneró el perímetro", indica BlackBerry.
El 'annus horribilis' para las víctimas de Akira
Akira surgió como amenaza en marzo de 2023 y está asociado al grupo RaaS conocido como Storm-1567 (también denominado Punk Spider y Gold Sahara).
En este casi año y medio los ciberdelincuentes que se sirven de este ransomware han tenido como objetivo organizaciones de diferentes industrias, como el sector inmobiliario, las finanzas y la educación.
La operación, que suele emplear la técnica de la doble extorsión, ha impactado en una amplia gama de empresas e infraestructuras críticas en Europa, Norteamérica y Australia.
Según BlackBerry, entre las tácticas, técnicas y procedimientos (TTP) más conocidos asociados con el ransomware Akira se incluyen el uso indebido frecuente de software legítimo, incluidas herramientas de código abierto como software de pruebas de penetración.
El grupo también es conocido por explotar vulnerabilidades en la infraestructura de una organización objetivo, como sistemas sin parches o desactualizados y software VPN vulnerable.
A finales de abril un aviso publicado por la Europol, el FBI, la CISA (Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU.) y el Centro de Ciberseguridad de los Países Bajos (NCSC-NL) hacía balance sobre esta amenaza.
Según aseguraban todos estos organismos, las operaciones de dicho ransomware habían recaudado desde el pasado 1 de enero hasta la fecha 42 millones de dólares que habían conseguido en pagos de rescates a través de más de 250 víctimas.