IntermedioransomwareAkiraCisco VPNRustESXi

Akira: Análisis del Ransomware que Explota VPNs sin MFA

Análisis técnico de Akira ransomware: explotación masiva de VPNs Cisco sin MFA, variante Linux/ESXi en Rust, error criptográfico que permitió descifrado temporal, y su posición como una de las amenazas más activas de 2024-2026.

MalwareIntel Research··8 min lectura
Serie: Ransomware — Parte 13

El cazador de VPNs sin MFA

Akira apareció en marzo de 2023 y rápidamente se convirtió en una de las amenazas de ransomware más activas del panorama. Su crecimiento no se basa en innovación criptográfica o técnicas de evasión revolucionarias, sino en una observación práctica: miles de organizaciones tienen VPNs Cisco expuestas a Internet sin autenticación multifactor. Akira explota esta debilidad de forma sistemática y eficiente.

En abril de 2024, FBI y CISA publicaron un advisory conjunto confirmando más de 250 víctimas y 42 millones USD en rescates. Para 2026, Akira sigue activo y se mantiene entre los 10 grupos de ransomware más prolíficos.

Perfil del grupo

AtributoDetalle
ActivoMarzo 2023 - presente
ModeloRaaS (porcentaje no confirmado públicamente)
Víctimas (abr 2024)Más de 250 organizaciones
Ingresos (abr 2024)~42 millones USD
VariantesWindows (C++), Linux/ESXi (Rust, "Megazord")
Posible conexiónConti (análisis de código y TTPs sugieren vínculos)
EstéticaRetro terminal verde sobre negro, interfaz CLI en leak site

Conexión con Conti

Varios investigadores han señalado similitudes entre Akira y Conti:

  • Análisis de flujos de criptomonedas muestra conexiones entre wallets de Akira y wallets anteriormente asociadas a Conti
  • TTPs de post-explotación consistentes con playbooks documentados en los Conti Leaks
  • Algunos artefactos de código comparten patrones con el código fuente filtrado de Conti

La conexión no está confirmada al nivel de Royal/BlackSuit (donde es directa y aceptada), pero la evidencia circunstancial es significativa.

Vector de acceso preferido: VPNs Cisco sin MFA

El problema

Cisco ASA (Adaptive Security Appliance) y Cisco AnyConnect/Secure Client son las soluciones VPN más desplegadas en entornos corporativos. Cuando se configuran solo con usuario y contraseña (sin MFA), son vulnerables a:

  • Credential stuffing: probar credenciales de breaches anteriores
  • Brute force: ataque de fuerza bruta contra el portal de autenticación
  • Infostealer logs: credenciales robadas por malware como RedLine, Raccoon o Lumma que se venden en Russian Market y otros mercados

Akira automatizó la explotación de este vector:

  1. Obtener credenciales de VPN Cisco de mercados de logs
  2. Autenticarse en el portal VPN
  3. Establecer sesión VPN legítima (tráfico cifrado, difícil de detectar)
  4. Acceder a la red interna como si fuera un empleado remoto

Vulnerabilidades explotadas

Además de credenciales comprometidas, Akira ha explotado vulnerabilidades específicas de Cisco:

CVEProductoDescripciónFecha
CVE-2023-20269Cisco ASA / FTDZero-day en VPN brute force (no rate limiting)Sep 2023
CVE-2020-3259Cisco ASAInformation disclosure que facilita autenticación2020 (aún explotada)

CVE-2023-20269 era particularmente grave: permitía ataques de brute force contra el portal VPN sin rate limiting ni bloqueo de cuentas.

Otros vectores

Aunque las VPNs Cisco son el vector preferido, Akira también usa:

  • RDP expuesto con credenciales comprometidas
  • Vulnerabilidades en VMware Horizon (Log4Shell)
  • Phishing con adjuntos maliciosos
  • Explotación de otras VPNs (Fortinet, SonicWall)

Arquitectura técnica

Variante Windows (C++)

La variante principal de Akira para Windows está escrita en C++ y usa:

ComponenteEspecificación
Cifrado simétricoChaCha20
Cifrado asimétricoRSA-4096
Extensión.akira
Nota de rescateakira_readme.txt
ThreadingMultihilo configurable
Cifrado parcialConfigurable por tamaño de archivo

Variante Linux/ESXi: Megazord

En agosto de 2023, Akira lanzó una variante Linux escrita en Rust (nombre interno "Megazord"):

  • Compilada estáticamente (no requiere dependencias en el host)
  • Cifra archivos VMDK, VMEM, VSWP en datastores ESXi
  • Usa esxcli vm process list y esxcli vm process kill para detener VMs
  • Mismo esquema criptográfico (ChaCha20 + RSA-4096)

Comportamiento de ejecución

  1. Eliminación de shadow copies
  2. Detención de servicios (SQL, backup, AV)
  3. Exclusión de archivos del sistema:
    • Directorios: Windows, Program Files, ProgramData, Recycle Bin
    • Extensiones: .exe, .dll, .sys, .msi, .akira
    • Archivos: akira_readme.txt, bootmgr, ntldr
  4. Enumeración de drives locales y shares de red
  5. Cifrado multihilo
  6. Escritura de nota de rescate en cada directorio

El error criptográfico y el decryptor de Avast

La vulnerabilidad

En las versiones tempranas de Akira (marzo-junio 2023), la generación de claves tenía un defecto:

  • El generador de números pseudoaleatorios usaba std::random_device con un seed derivado del timestamp del sistema
  • Conociendo el timestamp aproximado del cifrado (visible en los metadatos del archivo cifrado), era posible reducir el espacio de búsqueda de claves a un rango computacionalmente viable
  • Con suficiente potencia de cálculo (GPUs), se podía encontrar la clave correcta por fuerza bruta del seed

Decryptor de Avast

En junio de 2023, Avast publicó un decryptor gratuito para las versiones afectadas. Requisitos:

  • Al menos un archivo cifrado y su versión original (known plaintext)
  • Timestamp aproximado del cifrado
  • Las versiones afectadas eran las previas a la corrección (pre-julio 2023)

Corrección rápida

Akira corrigió el bug en julio de 2023, reemplazando la generación de claves por un CSPRNG apropiado (BCryptGenRandom en Windows). Las versiones posteriores no son descifrables sin la clave del atacante.

Modelo operativo

Doble extorsión

Akira opera con doble extorsión estándar:

  1. Exfiltración de datos antes del cifrado
  2. Cifrado de archivos
  3. Publicación en leak site si la víctima no paga

Leak site

El leak site de Akira tiene una estética distintiva: interfaz de terminal retro con texto verde sobre fondo negro, simulando una CLI. Los visitantes "navegan" el sitio escribiendo comandos en una terminal simulada. La estética es puramente cosmética pero ha generado atención mediática.

Funcionalidades:

  • Lista de víctimas con nombre, sector, país
  • Muestras de datos robados
  • Descarga de dumps completos tras expirar el plazo
  • Chat accesible vía Tor

Rescates

Los rescates de Akira son moderados comparados con otros grupos:

SegmentoRango típico de rescate
PYME (menos de 50M revenue)200.000 - 500.000 USD
Mediana (50-500M)500.000 - 2.000.000 USD
Grande (más de 500M)1.000.000 - 5.000.000 USD

Akira tiene reputación de ser "negociable": las víctimas que negocian activamente obtienen descuentos significativos (50-70% del precio inicial).

Ataques notables

VíctimaFechaSectorPaís
Lush (cosméticos)Ene 2024RetailUK
Stanford UniversityOct 2023EducaciónEEUU
Nissan AustraliaDic 2023AutomociónAustralia
Mercer UniversityAbr 2024EducaciónEEUU
London DrugsAbr 2024Retail/FarmaciaCanadá

Detección

Indicadores técnicos

IndicadorTipoDescripción
.akiraExtensiónArchivos cifrados
akira_readme.txtNotaNota de rescate
PowerShell con -ep bypassEjecuciónEjecución de scripts de reconocimiento
Conexiones VPN anómalasRedLogin VPN Cisco desde geolocalizaciones inesperadas
WinRAR/7-Zip en stagingProcesoCompresión masiva pre-exfiltración
Rclone hacia Mega/pCloudProceso/RedExfiltración de datos
vssadmin delete shadowsComandoEliminación de shadow copies

Detección del vector VPN

La detección del acceso inicial vía VPN Cisco es crítica:

  1. Logins desde IPs no habituales: baseline de IPs/países normales para cada usuario, alertar en anomalías
  2. Logins fuera de horario: accesos VPN a las 3 AM desde un país diferente
  3. Múltiples intentos de login fallidos: brute force contra el portal VPN
  4. Login exitoso tras múltiples fallos: patrón clásico de brute force exitoso
  5. Sesiones VPN inusualmente largas: sesiones de horas con transferencia sostenida de datos

Mitigación prioritaria

La medida más efectiva contra Akira es simple: habilitar MFA en todas las VPNs. El 90%+ de los ataques de Akira no habrían sido posibles si la VPN tuviera autenticación multifactor activa.

Checklist de mitigación:

  • Habilitar MFA en Cisco ASA/AnyConnect (Duo, Azure MFA, RSA SecurID)
  • Parchear CVE-2023-20269 y CVE-2020-3259
  • Monitorizar logs de autenticación VPN
  • Deshabilitar cuentas VPN que no usen MFA
  • Implementar rate limiting en el portal de autenticación
  • Revisar si hay credenciales corporativas en mercados de infostealer logs

Perspectiva 2026

Akira se ha consolidado como un grupo de ransomware de segundo nivel (detrás de BlackSuit, RansomHub y Play en volumen) pero consistente en su operación. Su foco en VPNs sin MFA le proporciona un suministro constante de víctimas: a pesar de años de advisories y recomendaciones, miles de organizaciones siguen operando VPNs con autenticación simple.

Fuentes y referencias

  • FBI/CISA. "#StopRansomware: Akira Ransomware." Joint Advisory AA24-109A, April 2024.
  • Avast. "Decrypted: Akira Ransomware." Avast Threat Labs, June 2023.
  • Cisco Talos. "Akira Ransomware Targeting Cisco VPN." Talos Intelligence, August 2023.
  • Cisco. "Security Advisory: Cisco ASA CVE-2023-20269." September 2023.
  • Sophos. "Akira Ransomware Technical Analysis." SophosLabs, 2023.
  • Arctic Wolf. "Akira Ransomware: Exploiting Cisco VPN Without MFA." 2023.
  • Trend Micro. "Akira Ransomware: Rust Variant Analysis." Trend Micro Research, 2023.
  • SentinelOne. "Akira Ransomware: From Windows to Linux." SentinelLabs, 2023.
  • BleepingComputer. "Akira Ransomware Targets Cisco VPNs." 2023.
  • Chainalysis. "Akira Financial Flow Analysis." 2024.

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Ransomware: Defending Against Digital Extortion (Allan Liska)

Amazon (enlace afiliado)

Artículos relacionados

RansomwareIntermedio

Cadena de Infección de Ransomware: Del Acceso Inicial al Cifrado

RansomwareAvanzado

Técnicas de Cifrado en Ransomware: AES, RSA, ChaCha20 y Cifrado Híbrido

RansomwareAvanzado

LockBit: Deep Dive Técnico del Programa RaaS Más Prolífico de la Historia

Casos de UsoAvanzado

BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation

Casos de UsoAvanzado

Conti: De Cobalt Strike a Exfiltración y Cifrado en 72 Horas

Casos de UsoAvanzado

LockBit 3.0: Incident Response Completo de Principio a Fin

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.