244 millones de dólares por cifrado: la infraestructura VPN se ha convertido en un cajero automático para los hackers

La actividad de la agrupación Akira sigue generando preocupación entre los investigadores en Estados Unidos y Europa, que esta semana publicaron un conjunto actualizado de recomendaciones para las organizaciones que se enfrentan a las operaciones de esta banda extorsiva. El documento se reflejan nuevas tácticas observadas en los ataques desde 2023, así como las vulnerabilidades que los atacantes explotan para infiltrarse en redes corporativas. El material amplía la advertencia de abril de 2024 y es la descripción más detallada de los métodos del grupo en el último año.

Los autores del aviso señalan que, hasta finales de septiembre, la suma obtenida por Akira en operaciones de cifrado de datos superó los 244 millones de dólares. El documento subraya que los extorsionadores no actúan solo por lucro: los ataques causan la paralización de infraestructuras en hospitales, centros educativos, empresas tecnológicas y plantas de producción. Representantes de la unidad analítica del FBI explican que en cada sistema cifrado se refleja el impacto en colectivos concretos y en las comunidades circundantes, que deben afrontar las consecuencias del ataque.

En la preparación de la advertencia participaron el FBI, el Departamento de Defensa de EE. UU., el Departamento de Salud y Servicios Humanos, Europol, así como fuerzas del orden de Francia, Alemania y los Países Bajos. En este documento actualizado se enumeran por primera vez con detalle los sectores que Akira ataca con mayor frecuencia: empresas manufactureras, instituciones educativas, contratistas de TI y organizaciones sanitarias. Los investigadores subrayan que la elección de las víctimas demuestra la intención de los operadores del ransomware de encontrar puntos débiles en estructuras de tamaño medio, donde se ha implementado acceso remoto y con frecuencia se usa una infraestructura VPN no completamente protegida.

El informe aclara que los operadores de Akira acceden a productos VPN mediante cuentas robadas o la explotación de vulnerabilidades —incluida CVE-2024-40766. En varios casos, los atacantes inician la intrusión con credenciales VPN comprometidas que podrían haber sido compradas a intermediarios con acceso al punto inicial de entrada. A veces recurren al ataque por fuerza bruta a los concentradores VPN o a la adivinación masiva de combinaciones débiles empleando la herramienta SharpDomainSpray para acceder a cuentas laborales. El documento enfatiza que los atacantes combinan activamente estos métodos, apostando a errores de configuración y a políticas de autenticación insuficientemente complejas.

Las recomendaciones aclaran que el grupo ha utilizado repetidamente AnyDesk, LogMeIn y otras herramientas de acceso remoto para afianzarse en la infraestructura e imitar las acciones de administradores. Los equipos de respuesta a incidentes han observado casos de eliminación deliberada de soluciones EDR, lo que permitió a los atacantes operar prácticamente sin dejar rastro. El FBI informa que en varios episodios Akira exfiltró datos en menos de dos horas desde el inicio del ataque, lo que indica una buena preparación de los operadores, la existencia de scripts de automatización preconfigurados y un conocimiento preciso de la estructura de las redes de las víctimas.

En una sección aparte se incluye una guía para las escuelas que enfrentan ataques de Akira. Los autores del aviso recomiendan a las instituciones educativas instaurar un control estricto del acceso VPN, cambiar contraseñas con regularidad y revisar los sistemas de administración remota que, según observaciones de los investigadores, los atacantes utilizan como canales para moverse dentro de la infraestructura. El documento enfatiza que las organizaciones educativas siguen siendo un objetivo atractivo, ya que a menudo cuentan con entornos heterogéneos y un gran número de sistemas distribuidos.

El nuevo aviso también examina la posible conexión entre Akira y el extinto grupo Conti. Los analistas precisan que esa relación se observa en la base de código de programas, en transacciones hacia monederos de criptomonedas asociadas con dirigentes de Conti, así como en el cruce parcial de círculos de ejecutores. Representantes de las fuerzas del orden confirman que algunos integrantes de Conti operaron previamente en el territorio de Rusia; sin embargo, no existe vínculo directo de Akira con estructuras estatales. Al mismo tiempo, el documento aclara que la arquitectura del grupo se presenta como un conjunto de ejecutores independientes que pueden encontrarse en distintos países y trabajar bajo un modelo de asociación.

En la lista de incidentes más destacados se menciona la intrusión reciente en la red de BK Technologies —proveedor de equipo de radio para el sector defensa de EE. UU. y los servicios de respuesta a emergencias. La empresa informó a los inversores sobre la comprometición de parte de la información interna y de datos de empleados actuales y antiguos tras el ataque en septiembre. Akira también es responsable de intrusiones en la Universidad de Stanford, el zoológico de Toronto, el banco estatal sudafricano, la correduría London Capital Group y otras grandes organizaciones cuyos sistemas resultaron vulnerables a las cadenas de ataque del grupo.