Tras un cierto grado de incertidumbre, tanto interna como externa, en cuanto al perpetrador que vulneró los sistemas de la empresa de logística, finalmente se confirmó el grupo atacante.
La pasada semana, Ciber Mundial desveló junto con otros medios de comunicación, que OCASA, una compañía ampliamente reconocida por realizar envíos de tarjetas de crédito, debito, entre otra documentación de carácter personal, había sido víctima de un ataque ransomware que dejó paralizada e inaccesible su página web.
A pesar de esto, el alcance del ataque no había podido ser definido, pues OCASA tomó la decisión de preservar un hermetismo, impidiendo saber con exactitud el impacto del incidente, permaneciendo desconocido, lo cual podría generar preocupación en usuarios ya que esta empresa quien gestiona los envíos de credenciales personales, con información personal de importancia para los ciberdelincuentes.
Sin embargo, en el trascurso del presente día, se ha podido dar a conocer que el grupo perpetrador que estuvo detrás de la operativa del ataque fue Akira, así lo ha confirmado @BirminghamCyber en su cuenta de X, destinados a informar acerca de los ciberataques que suceden en la región del cono sur.
¿QUIÉN ES AKIRA?
Akira es un grupo cibercriminal que distribuye un ransomware de su propio nombre, el cual, cifra los archivos con su extensión .akira al final del nombre de cada documento, bloqueando su acceso y brindando una clave de desencriptación solo si el usuario decide pagar un monto en criptomonedas.
Este malware además puede eliminar las copias de seguridad de los archivos de usuarios en Windows para los dispositivos afectados, limitando la capacidad de restablecer los ficheros mediante un back-up clásico.
Akira Ransomware puede introducirse a los equipos de diversas formas. Sus vías más habituales incluyen los adjuntos de correo electrónicos, URL maliciosas, servicios VPN sin autenticación, redes P2P, instaladores de terceros, entre otros. Nunca hay que descartar las capacidades de realizar un «movimiento lateral» si es que infecta a una organización y sus ordenadores se encuentran dentro de una misma red.
Surgió en Marzo de 2023 y originalmente estaba centrado en atacar empresas radicadas en los Estados Unidos y Canadá. No obstante, se expandió rápidamente hacia el resto del continente y Europa, con mucha más presencia en América Latina.
Lo interesante de Akira es que puede infectar máquinas con sistema operativo Linux, algo no tan común dentro de la gama de los software maliciosos.
El año pasado, la empresa de seguridad Avast consiguió dar a conocer un descifrador, aunque los cibercriminales fueron astutos y actualizaron su rutina de cifrado, dejando inútil este método para recuperar los archivos.
Algunas medidas para poder prevenir futuros ataques ante cualquier tipo de ransomware son:
- Mantener actualizado los sistemas operativos propios y de la compañía.
- Prestar atención a los correos electrónicos que se reciben recurrentemente.
- Tener una copia de seguridad aislada para que el malware no pueda alcanzarla.
- Disponer de un Firewall y un Antivirus de confianza.
- Activar el factor de doble autenticación en los dispositivos.
- Concientizar y educar a los empleados o aplicar una política ZTNA si estamos en una organización.