Dos operaciones sofisticadas de ransomware han surgido como amenazas significativas para los proveedores de servicios administrados (MSP) y las pequeñas empresas, con los grupos Akira y Lynx que desplegan técnicas de ataque avanzado que combinan credenciales robadas con explotación de vulnerabilidad.
Estas operaciones de ransomware como servicio (RAAS) han comprometido colectivamente a más de 365 organizaciones, lo que demuestra su efectividad para atacar a los proveedores de infraestructura de alto valor que atienden a múltiples clientes.
El grupo de ransomware Akira ha demostrado una notable persistencia desde su aparición en 2022, evolucionando de una amenaza relativamente desconocida a una de las 10 principales operaciones de ransomware para 2023.
Flujo de ataque de ransomware Akira (fuente – Acronis)
Con más de 220 víctimas confirmadas, Akira ha dirigido sistemáticamente firmas de abogados, firmas de contabilidad, empresas de construcción y proveedores de servicios administrados críticamente, incluidos Hitachi Vantara y Toppan Next Tech.
El enfoque del grupo en los MSP representa un cambio estratégico hacia la maximización del impacto, ya que el compromiso de estos proveedores otorga acceso a amplias redes de clientes y amplifica los posibles pagos de rescate.
Mientras tanto, la operación de ransomware Lynx ha atacado a aproximadamente 145 víctimas a través de una estrategia de ataque de alto volumen centrada principalmente en empresas privadas.
Flujo de ataque de ransomware Lynx (fuente – Acronis)
Investigadores de Acronis identificado Ese Lynx probablemente incorpora elementos del código fuente de Lockbit filtrado y comparte similitudes con la familia de ransomware Inc, lo que sugiere una compleja red de intercambio de código y evolución dentro del ecosistema de ransomware.
Las víctimas notables incluyen una estación de televisión afiliada de CBS en Chattanooga, Tennessee, destacando la disposición del grupo de dirigirse a las organizaciones críticas de infraestructura y medios.
Ambas familias de ransomware emplean tácticas sofisticadas de doble extorsión, combinando el cifrado de archivos con el robo de datos para presionar a las víctimas para que pague rescates.
Los grupos comparten similitudes técnicas con el notorio ransomware conti, que estaba vinculado al grupo de amenazas de araña del mago ruso antes de su disolución después de una fuga de datos significativas en 2022.
Esta conexión sugiere una posible reutilización del código o reclutamiento de antiguos operadores conti en estas nuevas operaciones.
Mecanismos avanzados de infección y evasión
Las campañas de ataque de 2025 revelan una evolución significativa en las capacidades técnicas de ambos grupos y los procedimientos operativos.
Los operadores de Akira han cambiado su vector de ataque primario de la explotación tradicional de phishing y vulnerabilidad a aprovechar las credenciales administrativas robadas o compradas.
Cuando se logra un acceso exitoso basado en credenciales, los atacantes inmediatamente deshabilitan el software de seguridad para establecer la persistencia.
Sin embargo, cuando el acceso basado en credenciales falla, el grupo emplea una estrategia sofisticada de respaldo que involucra la exfiltración de datos remotos seguido de cifrado utilizando herramientas legítimas y la lista blanca que generalmente evaden el monitoreo de seguridad.
El análisis técnico revela que Akira implementa ejecutables PE64 escritos en C/C ++ y compilado utilizando herramientas de compilación de Visual Studio.
El malware implementa el cifrado Chacha20 con la protección de la clave RSA, almacenando la tecla Chacha20 en un búfer de 512 bytes encriptado con RSA.
El ransomware crea múltiples hilos basados en el recuento de núcleo de la CPU, con hilos de cifrado que se correlacionan directamente con los procesadores disponibles.
Por ejemplo, los sistemas con seis procesadores lógicos generan hilos de analizador de dos carpetas mientras dedican cuatro hilos específicamente a las operaciones de cifrado de archivos.
Lynx demuestra una implementación técnica igualmente sofisticada a través de su ejecutable PE32 C/C ++ que admite extensos argumentos de línea de comandos para la flexibilidad operativa.
El malware incluye capacidades tales como-Ensrypt-Network para apuntar a las acciones de la red,-matar para la terminación del proceso y el servicio, y en particular, no es imprimir para evitar la impresión de notas de rescate en las impresoras conectadas.
El proceso de cifrado utiliza AES con la generación de claves públicas de ECC, implementando una clave pública codificada por Base64: 8Spemzusi5Vf/CJJobbepBax7xt6qt1j8mnz+IEG3G =.
Ambas familias de ransomware implementan técnicas integrales de evasión de defensa, incluida la eliminación de copias de sombra a través de API indocumentadas de Windows y terminación de procesos estratégicos dirigidos al software de respaldo, bases de datos y aplicaciones de seguridad.
El malware termina específicamente procesos relacionados con SQL, VEEAM, sistemas de copia de seguridad y servidores de intercambio para garantizar un cifrado de archivos exitoso sin interferencia en ejecución de aplicaciones o procesos de copia de seguridad.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
