Negociaciones con el grupo de ransomware Akira un enfoque desaconsejado

pppppAlgunas entidades afectadas por ciberataques optan por negociar con actores de amenazas como el grupo de ransomware Akira una práctica que no es recomendable en absoluto Negociar con estos ciberdelincuentes rara vez garantiza la recuperación de los datos o la no publicación de la información robadappppppCuando una entidad es víctima de Akira recibe un archivo de texto llamado akirareadmetxt Este archivo contiene instrucciones detalladas para contactar a los ciberdelincuentes ppppHabitualmente incluye un ID único que permite a las víctimas iniciar sesión en una página de negociación en la Dark Web diseñada por Akira para interactuar con sus objetivos A través de esta plataforma los atacantes gestionan las demandas de rescate y en muchos casos presionan a las víctimas para que paguenppppppppTras un análisis detallado identificamos cuatro chats de distintas empresas que intentaron dialogar con Akira tras ser atacadas Algunas de estas empresas aún figuraban como víctimas en el sitio web del grupo ppppppDías después de las negociaciones fallidas en las que no se logró un acuerdo económico los datos de estas compañías fueron publicados en el sitio de filtraciones de Akira alojado en la Dark Web una parte de internet no indexada accesible solo mediante navegadores especializados como Tor donde los ciberdelincuentes suelen compartir información robadappppEntidad Nos gustaría saber qué datos nos robasteppAkira Hola Has contactado con el chat de soporte de Akira Estamos preparando la lista de datos que obtuvimos de tu red Por ahora debes saber que contactarnos es la mejor manera de resolver esto de forma rápida y económica Mantente en contacto y ten paciencia Nos pondremos en contacto contigo pronto Tienes permiso para negociar en nombre de tu organización Una vez que recibamos una respuesta te proporcionaremos todos los detallesppppEntidad SíppAkira listtxt Estos archivos se obtuvieron de tu red antes del cifrado Puedes elegir de 2 a 3 archivos aleatorios de hasta 10 MB cada uno de la lista y los subiremos a este chat como prueba de posesión Para demostrar que podemos descifrar tus datos correctamente puedes subir de 2 a 3 archivos cifrados de hasta 10 MB cada uno a nuestro chat y te enviaremos copias descifradaspppp A esta empresa le exigían 450000 dólares Después de algunos días le ofrecieron una oferta de 400000 dólares La empresa dejó de responder mientras el soporte intentaba apresurar el trato hasta que los datos fueron publicadosppppLos grupos de ransomware afirman que esta vía es más rápida y económica Además insisten en que demostrar su descifrador puede hacer que las víctimas caigan en esta charla tan cordial con el soporte de AkirappppppppAkira Nosotros obtuvimos sus datos Podemos descifrarlos correctamente y restaurar su infraestructura en poco tiempoppEntidadLo máximo que tenemos son entre 10 y 15 mil dólares y podríamos pedir prestado un poco más Pero como dije somos una pequeña empresa que lleva más de medio año en una fase de baja actividad Apenas estamos empezando nuestra temporada alta para ganar lo suficiente para el resto del añoppEntidad Saben que tenemos sistemas muy antiguos y no podemos permitirnos actualizarlos No tenemos copias de seguridad y no podemos trabajar en absoluto ppppAl final de esta conversación el soporte de Akira aceptó la oferta de la empresa Inicialmente exigía 75000 dólares pero redujo la cifra a 25000 dólares ppEn una nueva dirección de Bitcoin se transfirieron algunos bitcoins de prueba y posteriormente el resto de los bitcoins prometidos Finalmente la empresa desapareció del sitio de Akira ransomware el chat entre Akira y la entidad fue eliminadoppppppppLa víctima siguió preguntando sobre cómo restaurar sus sistemas encriptados El soporte de Akira envió un desencriptador llamado unlockerexe con instrucciones para proceder con la desencriptación de los sistemas ppppAdemás la entidad preguntó cómo habían sido atacados El soporte proporcionó un informe inicial que decía lo siguienteppppppppEl acceso inicial a su red se compró en la dark web Posteriormente se realizó un kerberoasting y obtuvimos los hashes de las contraseñas Después los extrajimos y obtuvimos la contraseña de administrador del dominioppppTras semanas de análisis de su red hemos detectado algunos fallos que recomendamos encarecidamente eliminarpppppp ppLa tercera entidad se puso en contacto con el soporte de Akira preguntándoles directamente que encontró la nota de rescate y que estaba dispuesta a trabajar en una solución Akira insistió en que la empresa debía mejorar su seguridad y le entregó una lista de los archivos comprometidos ppAdemás preguntó a la empresa si trabajaría con ellos adjuntando un precio de 550000 dólares El soporte volvió a preguntar si estaba lista para pagar La empresa respondió que intentaba organizar sus archivos para poder proceder con el pago Akira presionó nuevamente advirtiendo que esperaba su decisión ese mismo día o de lo contrario los datos serían publicados Verificamos que la entidad aún no está listada ni filtrada en la página de AkirappLa cuarta entidad se puso en contacto con el chat de Akira solicitando únicamente el costo del pago para evaluar si era más conveniente que restaurar sus sistemas Akira exigió un pago de 1000000 de dólares y especificó que si los fondos se retiraban de una cuenta bancaria la empresa debía informar al banco que el dinero era únicamente para una inversiónLa empresa respondió que era demasiado dinero y añadió que reconstruir todos los datos en un nuevo sistema le tomaría solo dos semanas por lo que no pagaría más de 50000 dólares ppppEl chantaje continuó por parte de Akira quien amenazó con publicar 225 GB de información en su blog Al verificar constatamos que la entidad aún no ha sido publicada en el blogppLos intentos de negociación con Akira como los documentados demuestran que esta estrategia es arriesgada e ineficaz Pagar un rescate no asegura que los datos sean recuperados ni que se evite su filtración Además financiar a estos grupos fortalece sus operaciones y aumenta la probabilidad de futuros ataquesppppRespuesta inmediata Aislar los sistemas comprometidos y notificar a las autoridades de ciberseguridadppppFortalecer la ciberseguridad es la mejor defensa contra grupos como Akira Evitar el contacto con estos actores y adoptar medidas proactivas protegerá mejor a las organizaciones frente a estas amenazasppp