Akira es una familia de ransomware identificada inicialmente en 2023, escrita en C++ y operada bajo un modelo de ransomware como servicio (RaaS). Apunta a sectores como manufactura, educación e infraestructura tecnológica, con operaciones observadas en América del Norte, Europa y Australia. Posteriormente surgió Akira_v2, reescrita en Rust, diseñada específicamente para atacar entornos VMware ESXi y añadir nuevas funcionalidades que optimizan la ejecución en entornos virtualizados.
Técnicas Destacadas en MITRE ATT&CK
1. Intérprete de comandos y scripting
T1059.001 PowerShell: Akira ejecuta comandos PowerShell para eliminar snapshots de volumen del sistema.
T1059.003 Windows Command Shell: ambas versiones aceptan argumentos de línea de comandos, incluyendo acciones de descubrimiento, exclusión de directorios y ejecución controlada.
2. Descubrimiento de archivos y recursos
T1083 File and Directory Discovery: recorre carpetas locales en busca de archivos objetivo.
T1135 Network Share Discovery: detecta y cifra unidades de red compartidas.
3. Evasión de entorno y ejecución condicionada
T1480 Execution Guardrails: Akira_v2 verifica que el entorno ESXi sea válido, comprobando la existencia de rutas como /vmfs/volumes antes de ejecutarse.
4. Creación o modificación de procesos
T1543 Create or Modify System Process: Akira_v2 genera procesos hijos para realizar tareas de cifrado y ejecución de payloads en ESXi.
5. Detención de servicios y máquinas virtuales
T1489 Service Stop: Akira_v2 detiene máquinas virtuales en ejecución dentro del entorno VMware para garantizar el acceso completo a los archivos VMDK y otros recursos críticos.
6. Cifrado de datos para impacto
T1486 Data Encrypted for Impact: utiliza algoritmos de cifrado robustos para cifrar archivos en sistemas Windows y en los volúmenes ESXi. Akira_v2 emplea la librería rust-crypto 0.2.36 para este fin.
7. Inhibición de recuperación del sistema
T1490 Inhibit System Recovery: ambas variantes eliminan las copias de seguridad del sistema, como las shadow copies, usando comandos PowerShell o herramientas del sistema.
8. Enumeración de registros
T1654 Log Enumeration: Akira_v2 inspecciona registros de traza, error, advertencia e información en entornos ESXi para validar ejecución o detectar fallos operacionales.
Grupos Relacionados
Akira está asociado a un actor RaaS aún no públicamente atribuido, que opera bajo un modelo de doble extorsión: cifrado de datos acompañado de amenazas de publicación en caso de no pago. Este grupo ha mostrado capacidades tanto técnicas como organizativas para atacar infraestructuras mixtas (físicas y virtualizadas).
Flujo de ataque resumido
- Se ejecuta Akira con parámetros personalizados a través de cmd o PowerShell.
- Elimina snapshots de recuperación y detecta unidades locales y remotas.
- En su versión v2, valida el entorno ESXi antes de proceder con ejecución maliciosa.
- Detiene máquinas virtuales y servicios que puedan bloquear el acceso a archivos.
- Cifra archivos con algoritmos modernos y robustos.
- Akira_v2 analiza registros para ajustar su comportamiento o validar que la ejecución fue exitosa.
- Concluye con una nota de rescate y los sistemas comprometidos sin opción local de recuperación.
Mitigaciones y detección recomendadas
- Restringir el uso de PowerShell con políticas de ejecución y registro de scripts.
- Auditar comandos relacionados con la eliminación de copias de seguridad, como
vssadmin delete shadowsobcdedit. - Bloquear y monitorear accesos a rutas específicas de ESXi como
/vmfs/volumes. - Detectar creación de procesos hijos inusuales desde servicios legítimos.
- Aplicar controles de acceso estrictos en entornos virtuales y segmentar redes críticas.
- Monitorear logs en hipervisores para detectar comportamientos anómalos antes de cifrado.
- Implementar autenticación multifactor y mínima asignación de privilegios en cuentas con acceso a VMware y entornos administrativos.
Este análisis destaca cómo Akira y su evolución Akira_v2 representan amenazas multifacéticas con capacidad de adaptarse a múltiples entornos operativos.