Las aerolíneas a menudo se convierten en el objetivo de los piratas informáticos porque contienen información personal y financiera confidencial de los pasajeros, así como horarios de viaje y programas de fidelización. Dado que las aerolíneas son atractivas para los actores amenazantes, interrumpir sus operaciones puede ser bastante perjudicial para su situación económica y su reputación.
Recientemente, investigadores de ciberseguridad de BlackBerry descubrieron que, en América Latina, un ataque de ransomware Akira tuvo como objetivo una aerolínea en junio de 2024 utilizando SSH para obtener reconocimiento de acceso inicial y persistencia a través de herramientas legítimas y LOLBAS.
El Ataque y Sus Consecuencias
El ataque se inició con la explotación de un servidor de respaldo de Veeam sin parchear a través de la vulnerabilidad CVE-2023-27532. Antes de emplear el ransomware, el atacante basado en Linux había exfiltrado datos críticos. Este ataque es representativo del grupo de ransomware conocido como Akira o Storm-1567 RaaS (también conocido como Punk Spider y GOLD SAHARA), que utiliza métodos de doble extorsión y frecuentemente abusa de software legítimo para sus fines maliciosos.
Metodología de Ataque
- Explotación de Vulnerabilidades: Los operadores de Akira obtuvieron acceso utilizando vulnerabilidades conocidas como CVE-2020-3259 y CVE-2023-20269.
- Acceso Inicial: Utilizaron SSH para ingresar al sistema, crearon un usuario administrador y emplearon herramientas legítimas como Advanced IP Scanner para el reconocimiento.
- Exfiltración de Datos: En solo 133 minutos, lograron extraer algunos datos a través de WinSCP.
- Desactivación de Protección Antivirus: Al día siguiente, desactivaron la protección antivirus y la red se infectó con el ransomware Akira (w.exe). También eliminaron las instantáneas para restringir la recuperación.
- Uso de Herramientas Legitimas: Utilizaron programas y metodologías LOLBAS como smbexec de Impacket, NetScan y AnyDesk para mantener la persistencia en el sistema.
Impacto y Recomendaciones
Este ataque sofisticado demostró la capacidad de los atacantes para utilizar herramientas y técnicas avanzadas para maximizar el impacto. Los investigadores de BlackBerry señalaron que este incidente subraya la importancia de aplicar parches y actualizaciones de software de manera inmediata dentro de las redes corporativas para bloquear amenazas cibernéticas tan sofisticadas.
La exfiltración de datos se produjo a través de la dirección IP 77.247.126.158. El ataque, que se produjo durante el horario laboral UTC a lo largo de dos días, sugiere que los atacantes podrían estar en una zona horaria cercana o en horario UTC, posiblemente en Europa Occidental.
Akira: Un Grupo Versátil y Peligroso
Akira no solo se centra en sistemas Windows, sino que también tiene variantes para Linux, incluyendo una diseñada específicamente para máquinas virtuales VMware ESXi. Esto demuestra lo versátil y adaptable que puede ser este ransomware en diferentes entornos de TI.
El grupo Akira, que inició sus actividades en marzo de 2023, ya ha recibido más de 42 millones de dólares en rescates de más de 250 organizaciones en todo el mundo, operando en diversos sectores de la economía.
Conclusión
Este incidente pone de manifiesto la importancia de la ciberseguridad en el sector de las aerolíneas y la necesidad de estar siempre alerta y preparados para enfrentar este tipo de amenazas. La aplicación inmediata de parches y actualizaciones, junto con la implementación de medidas de seguridad robustas, son cruciales para proteger las operaciones y los datos sensibles de las aerolíneas.
Además, la expansión de grupos como Akira en América Latina destaca la urgencia de reforzar las defensas cibernéticas en la región. Este ataque es un recordatorio de que ninguna organización está a salvo de los cibercriminales y que la preparación y la respuesta rápida son clave para mitigar los daños de tales incidentes.
#CyberSecurity ?️ #Ransomware ? #AviationSecurity ✈️ #DataProtection ? #CyberAttack ⚠️ #ITSecurity ? #ThreatIntelligence ?️ #NetworkSecurity ? #IncidentResponse ? #AkiraRansomware ?
