El ransomware Akira ha dado un salto cualitativo y cuantitativo en 2025. Un nuevo aviso conjunto publicado por agencias de ciberseguridad de Estados Unidos, Francia, Alemania y Países Bajos alerta de que el grupo ha superado ya los 244 millones de dólares en beneficios extorsivos, consolidándose como una de las operaciones criminales más rentables y activas del ecosistema ransomware.
El informe confirma un patrón que los analistas venían señalando desde hace meses: los ataques son más rápidos, más amplios y más difíciles de detectar. En algunos casos, Akira ha logrado exfiltrar información crítica en poco más de dos horas desde el acceso inicial, un ritmo que supera con creces la capacidad de reacción de muchos equipos de seguridad.
De ESXi a Nutanix: el ransomware sigue la evolución del datacenter
Hasta este año, Akira había centrado la mayoría de sus ataques en entornos VMware ESXi, una práctica habitual entre los grupos de ransomware orientados a infraestructura. Sin embargo, el aviso confirma un movimiento relevante: en junio, el grupo consiguió por primera vez cifrar discos de máquinas virtuales Nutanix AHV, demostrando que los atacantes ya están monitorizando y adaptando sus técnicas a la modernización del datacenter corporativo.
El vector de ataque más destacado en los últimos meses ha sido la explotación de la vulnerabilidad CVE-2024-40766 en SonicWall, utilizada para obtener acceso inicial incluso en dispositivos que ya habían sido parcheados, según confirmaron varios proveedores de detección.
A esta vía se suman otros métodos que refuerzan la idea de un perímetro cada vez más frágil:
– Acceso a VPN corporativas mediante credenciales robadas o adquiridas a brokers de acceso inicial.
– Ataques de password spraying utilizando herramientas como SharpDomainSpray.
– Compromiso de routers expuestos para obtener acceso por SSH.
La explotación de dispositivos perimetrales, históricamente resistentes al parcheo por su criticidad, vuelve a situarse como uno de los talones de Aquiles más evidentes para empresas y administraciones.
Movimiento lateral silencioso y técnicas de APT
Una vez dentro, Akira combina herramientas legítimas y utilidades de administración remota para pasar desapercibida:
- AnyDesk, LogMeIn, RDP, SSH y MobaXterm para moverse por la red.
- Impacket (wmiexec.py) para ejecutar comandos en remoto.
- Ngrok para establecer canales C2 cifrados que evitan la inspección perimetral.
- PowerShell y scripts VB para desactivar servicios y ejecutar payloads.
- Eliminación de soluciones EDR para reducir la visibilidad del ataque.
El grupo también crea nuevas cuentas con privilegios elevados, una técnica clásica pero aún muy efectiva para mantener el control de los sistemas comprometidos.
Un incidente incluido en el informe muestra hasta dónde puede llegar su nivel de sofisticación: los atacantes apagaron temporalmente un controlador de dominio, copiaron los archivos VMDK, los montaron en una VM nueva y extrajeron el archivo NTDS.dit, logrando comprometer la cuenta de administrador del dominio.
Un aviso que llega en plena escalada del ransomware
La publicación del informe se enmarca en la campaña internacional #StopRansomware, pero también refleja un problema de fondo: los atacantes están evolucionando más rápido que los programas de mitigación y más rápido que los ciclos de parcheo de muchas organizaciones.
El ritmo de automatización, la explotación sistemática de fallos recientes en appliances perimetrales, el abuso de herramientas legítimas y la diversidad de vectores sitúan a Akira entre las amenazas más difíciles de contener en 2025.
El caso Akira demuestra que la combinación de credenciales robadas, parches pendientes y sistemas expuestos sigue siendo el combustible perfecto para las campañas de ransomware más avanzadas.
