Grupo Akira

Akira

Akira es una operación de ransomware de doble extorsión activa desde marzo de 2023 y una de las más rentables del ecosistema RaaS actual. El grupo ha centrado sus operaciones en organizaciones de tamaño medio y grande de sectores como manufactura, salud, educación, servicios financieros y MSPs.

A diferencia de otros grupos que dependen de un único vector de acceso, Akira combina múltiples métodos: credenciales robadas, password spraying, explotación de VPN expuestas, acceso a RDP y abuso de herramientas de administración remota. El grupo destaca además por su rápida adaptación a nuevos entornos virtualizados, incluyendo VMware ESXi, Hyper-V y, más recientemente, Nutanix AHV.

Opera bajo un modelo RaaS (Ransomware-as-a-Service), permitiendo que distintos afiliados utilicen el locker y la infraestructura de filtración a cambio de compartir beneficios. Desde su aparición, las autoridades estiman que Akira ha obtenido más de 244 millones de dólares en pagos de rescate.

Cronología y evolución

  • Marzo de 2023: aparición pública de Akira orientada a entornos Windows y Linux.
  • Finales de 2023: comienzan a aparecer lockers específicos para entornos VMware ESXi.
  • 2024: el grupo adopta variantes escritas en Rust y la familia conocida como Megazord, orientada a infraestructuras virtualizadas.
  • 2025: se observan campañas centradas en Nutanix AHV y una mayor especialización en hipervisores empresariales.

Esta evolución demuestra que Akira ha dejado de centrarse únicamente en endpoints tradicionales y busca maximizar el impacto cifrando infraestructuras completas de virtualización y backup.

Resumen del ataque

Fase Descripción
Acceso inicial VPN sin MFA, SonicWall SSL VPN, RDP expuesto, credenciales robadas, password spraying
Reconocimiento Enumeración de shares SMB, discovery de hipervisores, controladores de dominio y servidores backup
Credential Access Robo de credenciales, abuso de cuentas válidas, extracción de credenciales desde LSASS
Lateral Movement PsExec, SMB, RDP, AnyDesk, Atera, ScreenConnect
Exfiltración Exfiltración previa mediante Rclone, WinSCP, MEGA o herramientas cloud
Persistencia Instalación de RMMs, creación de cuentas administrativas, acceso VPN persistente
Anti-recovery Eliminación de Shadow Copies, desactivación de Defender y destrucción de backups
Impacto Cifrado ChaCha8 / ChaCha20 + RSA sobre Windows, Linux, ESXi, Hyper-V y Nutanix AHV

Acceso inicial

El vector más frecuente en Akira sigue siendo el acceso mediante credenciales válidas comprometidas. El grupo explota especialmente servicios VPN expuestos sin MFA, SonicWall SSL VPN, accesos RDP y credenciales reutilizadas procedentes de filtraciones previas.

En campañas recientes, Akira ha sido vinculado a la explotación de dispositivos SonicWall SSL VPN vulnerables y a la vulnerabilidad CVE-2024-40766, así como a ataques contra infraestructuras donde existían accesos remotos mal segmentados o sin protección multifactor.

También se han observado campañas asociadas a:

  • CVE-2023-20269 en dispositivos Cisco ASA y Cisco FTD
  • CVE-2024-37085 relacionada con entornos VMware ESXi
  • Password spraying sobre portales VPN, servicios web de autenticación y controladores de dominio expuestos

El grupo también utiliza password spraying contra servicios VPN, portales web de autenticación y controladores de dominio expuestos.

Credential Access

Una vez dentro, Akira intenta consolidar el acceso mediante extracción de credenciales desde LSASS, uso de cuentas administrativas ya existentes y robo de credenciales almacenadas en navegadores, VPNs o herramientas RMM.

En distintos incidentes se ha observado el uso de herramientas como Mimikatz, LaZagne, ProcDump, PowerShell y RMMs legítimos como AnyDesk, Atera y ScreenConnect.

También se ha observado el uso de SharpHound para mapear relaciones privilegiadas en Active Directory y localizar rutas rápidas hacia Domain Admin.

Con credenciales de Domain Admin, el grupo se mueve rápidamente hacia controladores de dominio, shares SMB, NAS, sistemas de backup y plataformas de virtualización.

Persistencia y evasión

Akira suele instalar herramientas de acceso remoto legítimas para mantener persistencia incluso si se elimina el malware principal. Entre las más habituales figuran AnyDesk, Atera, ScreenConnect, TeamViewer y Remote Utilities.

También se ha documentado la creación de nuevas cuentas administrativas, modificación de GPOs y cambios en Windows Defender para reducir la capacidad de detección. En varios incidentes, los operadores utilizaron PowerShell para desactivar Microsoft Defender y manipular políticas de exclusión.

Además, Akira suele crear servicios, tareas programadas y nombres de procesos aparentemente legítimos para dificultar la detección y permanecer activo tras reinicios del sistema.

Movimiento lateral

El movimiento lateral se realiza principalmente mediante SMB, PsExec, PaExec, RDP, PowerShell Remoting, herramientas administrativas de Windows y credenciales de Domain Admin reutilizadas.

Akira prioriza especialmente los entornos virtualizados porque permiten maximizar el impacto. Una vez localizados hosts ESXi, Hyper-V o Nutanix AHV, los atacantes despliegan lockers específicos para cifrar múltiples máquinas virtuales de una sola vez.

Las campañas recientes muestran un interés creciente por infraestructuras VMware vulnerables, especialmente cuando existen credenciales reutilizadas o fallos como CVE-2024-37085 que facilitan el acceso a hosts ESXi.

Exfiltración

Akira realiza exfiltración de datos antes del cifrado para aplicar doble extorsión. Los datos robados incluyen bases de datos, contratos, información financiera, datos de clientes, información sanitaria, archivos internos y copias de correo electrónico.

Las herramientas más observadas para exfiltración son Rclone, WinSCP, FileZilla, MEGA y servicios cloud controlados por el atacante. Si la víctima no paga, Akira publica la información robada en su portal de filtración alojado en Tor.

Impacto y destrucción

Antes de cifrar, Akira elimina mecanismos de recuperación para dificultar al máximo la restauración de los sistemas. Los operadores suelen utilizar comandos como vssadmin delete shadows, wmic shadowcopy delete y bcdedit /set {default} recoveryenabled no para borrar las Shadow Copies y desactivar opciones de recuperación. En muchos casos también desactivan Microsoft Defender, eliminan backups de Veeam, destruyen shares de backup accesibles vía SMB y borran snapshots y checkpoints de virtualización.

El ransomware utiliza principalmente ChaCha8 o ChaCha20 junto con RSA para proteger la clave de cifrado.

Las variantes para Windows suelen añadir la extensión .akira y crear la nota de rescate akira_readme.txt. Las variantes para ESXi, Hyper-V y Nutanix AHV cifran directamente discos virtuales y almacenamiento asociado, maximizando el impacto operativo con una sola ejecución.

Entre los indicadores visuales más habituales en un incidente de Akira destacan los archivos renombrados con la extensión .akira, la presencia de la nota de rescate akira_readme.txt, recursos compartidos SMB inaccesibles, máquinas virtuales apagadas o inaccesibles, eliminación de snapshots y backups, y servicios sospechosos instalados para mantener persistencia.

Fuentes

  • CISA Advisory — Akira Ransomware
  • FBI Flash Alert — Akira Ransomware Group
  • Cisco Talos — Akira Operations
  • Arctic Wolf — Akira Ransomware Intrusion Analysis
  • SentinelOne Anthology — Akira
  • Sophos — Akira Again: The Ransomware That Keeps on Taking
Sectores Objetivo

Sectores Objetivo

Sectores de actividad en los que el grupo Akira ha concentrado sus ataques.

Akira ataca frecuentemente a empresas industriales por su alta dependencia de la continuidad operativa, la coexistencia de sistemas legacy y el impacto económico inmediato cuando se cifran servidores de producción o ERPs.

Hospitales, laboratorios y proveedores sanitarios son objetivos prioritarios debido a la sensibilidad de los datos, la presión regulatoria y la baja tolerancia al tiempo de inactividad.

Las instituciones educativas suelen tener un gran número de usuarios, recursos limitados y un uso intensivo de accesos remotos, lo que facilita ataques basados en credenciales comprometidas y password spraying.

Akira busca organizaciones financieras por el valor de sus datos, la presión de los reguladores y la necesidad de recuperar operaciones rápidamente tras un incidente.

Los proveedores de servicios gestionados, consultoras y empresas tecnológicas son especialmente atractivos porque un solo compromiso puede dar acceso a múltiples clientes.

Bufetes, consultoras y firmas de auditoría manejan datos sensibles de múltiples clientes, lo que incrementa el valor de la extorsión y el riesgo reputacional.

Reglas XDR

Detection & Response Rules

Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.

Detecta múltiples intentos fallidos de autenticación contra VPN desde una misma IP en un corto periodo de tiempo.

S1QL v2 
event.login.loginIsSuccessful == false
AND src.endpoint.ip.address != null
| group Attempts = count() by src.endpoint.ip.address, event.login.userName
| filter Attempts >= 10

Detecta ejecución de AnyDesk, herramienta utilizada frecuentemente por Akira para persistencia y acceso remoto.

S1QL v2 
event.type = "Process Creation"
AND (
  tgt.process.name in ("AnyDesk.exe", "AnyDeskMSI.exe")
  OR tgt.process.publisher contains:anycase "AnyDesk Software GmbH"
)

Detecta la instalación o ejecución de AteraAgent como mecanismo de persistencia.

S1QL v2 
event.type = "Process Creation"
AND (
  tgt.process.publisher contains:anycase "Atera Networks Ltd"
  OR tgt.process.name = "AteraAgent.exe"
  OR (
    tgt.process.name = "msiexec.exe"
    AND tgt.process.cmdline contains:anycase "AteraAgent"
  )
)

Detecta el uso de PsExec y PaExec para propagación lateral.

S1QL v2 
event.type = "Process Creation"
AND tgt.process.name in ("psexec.exe", "paexec.exe", "psexesvc.exe")

Detecta comandos PowerShell utilizados para desactivar Microsoft Defender.

S1QL v2 
event.type = "Process Creation"
AND tgt.process.name in ("powershell.exe", "pwsh.exe")
AND (
  tgt.process.cmdline contains:anycase "Set-MpPreference"
  OR tgt.process.cmdline contains:anycase "DisableRealtimeMonitoring"
)

Detecta el borrado de Shadow Copies mediante vssadmin, wmic o bcdedit.

S1QL v2 
event.type = "Process Creation"
AND (
  tgt.process.cmdline contains:anycase "vssadmin delete shadows"
  OR tgt.process.cmdline contains:anycase "wmic shadowcopy delete"
  OR tgt.process.cmdline contains:anycase "bcdedit /set {default} recoveryenabled no"
)

Detecta la creación de la nota de rescate akira_readme.txt.

S1QL v2 
event.type = "File Creation"
AND tgt.file.path contains:anycase "akira_readme.txt"

Detecta archivos cifrados con la extensión .akira.

S1QL v2 
event.type = "File Creation"
AND tgt.file.path endswith ".akira"

Detecta conexiones SSH hacia hipervisores ESXi.

S1QL v2 
event.type = "Network Connection"
AND dst.port.number = 22
AND (
  dst.endpoint.name contains:anycase "esxi"
  OR dst.process.name contains:anycase "esxi"
)

Detecta acceso sospechoso a servicios y procesos de Veeam.

S1QL v2 
event.type = "Process Creation"
AND (
  tgt.process.name contains:anycase "veeam"
  OR tgt.process.cmdline contains:anycase "Veeam"
)
Tags: ransomware akira incident-response xdr sentinelone esxi hyper-v nutanix sonicwall lateral-movement password-spraying