El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad advirtieron el jueves que Akira ransomware está lanzando ataques activamente contra industrias críticas mediante la explotación de vulnerabilidades en dispositivos perimetrales y servidores de respaldo.
El ransomware Akira se ha relacionado con una variedad de actividades de amenazas en los últimos meses, incluido un aumento en ataques dirigidos a clientes de firewall de SonicWall a partir de julio. Los funcionarios estadounidenses advirtieron que Akira ha estado ampliando una amplia gama de ataques que se remontan a este mes y que los piratas informáticos han estado colaborando con otros grupos de amenazas.
«Este grupo ataca principalmente a pequeñas y medianas empresas, pero también ha atacado a organizaciones más grandes en varios sectores», dijo a los periodistas Nick Andersen, subdirector ejecutivo de la División de Ciberseguridad de CISA, durante una conferencia telefónica el jueves.
Los objetivos también han incluido empresas manufactureras, educativas, sanitarias, informáticas, financieras y alimentarias y agrícolas.
Hasta septiembre, el grupo ha reclamado más de 244 millones de dólares en ganancias de estos ataques, dijo Brett Leatherman, subdirector de la División Cibernética del FBI.
El grupo se ha dirigido a las VPN, incluidos los productos SonicWall, robando credenciales o explotando vulnerabilidades como CVE-2024-40766según un aviso actualizado del FBI y CISA.
A principios de este año, el grupo obtuvo acceso a través de una VPN que no tenía autenticación multifactor. El grupo ha explotado vulnerabilidades en productos de Cisco, incluyendo CVE-2020-3259 y CVE-2023-20269.
El grupo ha abusado de herramientas de acceso remoto como AnyDesk o LogMeIn para mantener la persistencia dentro de un sistema.
Akira ha utilizado un método de doble extorsión para cifrar datos y amenazar con filtrarlos en su red Tor, según el aviso.
Fuente