Alertas de Seguridad, Malware
Alto

Akira irrumpe en Flagship Bank: 40 GB de datos robados y nuevas variantes de ransomware identificadas

El colectivo Akira asegura haber comprometido el Flagship Bank y exfiltrado 40 GB de información sensible. El análisis de nueve muestras —entre ellas AdpSDKUtil.exe (hash f6a23a…) y 4c130dfc….exe— revela el uso de PowerShell + WMI para borrar copias de seguridad, propagarse lateralmente y cifrar servidores. Este ataque confirma la evolución técnica de Akira y subraya la necesidad de reforzar credenciales y respaldos inmutables.

· 28 vistas
Akira irrumpe en Flagship Bank: 40 GB de datos robados y nuevas variantes de ransomware identificadas

Flagship Bank amaneció el 27 de mayo con su nombre publicado en el sitio de filtraciones de Akira. El grupo asegura haber sustraído unos 40 GB de contratos, números de SSN, pasaportes y registros financieros, y amenaza con liberar todo si la entidad no paga el rescate. Diversas fuentes públicas —desde portales de fugas hasta servicios de inteligencia de amenazas— corroboran la aparición de la víctima en la lista del actor y la cifra de datos robados.

Nuestra unidad de malware recibió nueve archivos vinculados al incidente. El laboratorio comprobó que no se trata de un único “malware”, sino de un engranaje completo: un binario señuelo con firma legítima evita alarmas tempranas; un dropper descifra la carga real y desactiva el EDR; el cifrador elimina copias de seguridad antes de encriptar la red; un propagador copia el payload a hosts vecinos; y un archivo de configuración orquesta todo con la clave AES y las extensiones a excluir. En caso de bloqueo, un loader alternativo reinyecta la amenaza con técnicas anti-depuración. El resultado para Flagship Bank ha sido doble: pérdida operativa inmediata y presión pública por la posible filtración de datos sensibles.

En la práctica, el ataque se desarrolló así: el usuario ejecuta el señuelo (Stinger.exe), que carga en memoria AdpSDKUtil.exe; este último se apropia de RstrtMgr.dll para apagar los controles defensivos y, con los parámetros guardados en tzmappings.akira, libera el cifrador (4c130dfc…). El cifrador borra las shadow copies mediante WMI/PowerShell y cifra los volúmenes. A continuación entra en juego el propagador (865930cd…), que se distribuye por SMB usando credenciales válidas, mientras un loader de reserva (loreser.exe) permanece latente para reactivar la ofensiva si algo falla.

Muestra destacada Hash SHA-256 (abreviado) Rol dentro del ataque MITRE tácticas clave
Stinger.exe 8bc8d6b5… Binario señuelo firmado que inyecta el dropper T1574.002
AdpSDKUtil.exe f6a23a11… (y clones) Dropper que descifra el cifrador y deshabilita EDR T1562.001 / T1547
4c130dfc….exe 4c130dfc… Cifrador: suprime copias de volumen y cifra datos T1486 / T1490
a3dd850d….exe a3dd850d… Variante de reserva del cifrador
865930cd….exe 865930cd… Propagador SMB que copia el cifrador en otros hosts T1021.002 / T1105
tzmappings.akira b266a5b3… Archivo de configuración (clave AES, exclusiones) T1027
test1.exe efbb8a4b… Loader con fuertes rutinas anti-debug T1622

 

¿Por qué importa?

  • Escalada en el sector financiero. Akira, activo en Latinoamérica durante 2024, apunta ahora a bancos estadounidenses con alto valor de rescate. Chile no es inmune: muchos bancos medianos aún dependen de copias de seguridad online y credenciales compartidas.
  • Cadena modular y reciclable. El actor puede sustituir cualquiera de las piezas por nuevas versiones, eludiendo bloqueos basados en hashes estáticos.
  • Doble extorsión refinada. Con la exfiltración previa al cifrado, la presión para pagar se multiplica por el riesgo regulatorio y reputacional.

 

El caso Flagship Bank demuestra que el ransomware moderno no es un simple ejecutable que cifra archivos: es una suite orquestada que combina ingeniería social, living-off-the-land, cifrado y filtración. Fortalecer la visibilidad sobre PowerShell y WMI, y aislar los respaldos, marca la diferencia entre un incidente crítico y una catástrofe empresarial.

Indicadores de Compromiso (IoCs)

f6a23a117c3c47a20fec8cbccc06ced2a4543e1f527bfbe00332874b253bac77
447dda29ad8d007089262be435cf9b127884193bdaaa7cfe4e04e751645c925f
4c130dfce360a886073880a8d77aedc11684baaf368da7841b1af19080c73190
c4e527663aa7c6ff41b00bf7c2aa877ca581e4f71aacee34a0d14914ca92e6da
b266a5b3b72e49633bee5a187b5bd761a6205c25695051a0fc461435dd0ac5ca
865930cd680f5196672ec552ee19693a9e2868709b0cdb71674ded1f04c85922
a3dd850d5c543003baaa5422ef084adff7e3b1691a11eed8c91235ba12be13bc
8bc8d6b518cc8f2c5e94cf21289a87b538d2ed59af331ae782e0f4783a70a5f8
efbb8a4b6d879fb0d28f6b480436010fe91ab2b4ecf416640ef54650c2fdfc60

Recomendaciones de Mitigación

Qué debería hacer hoy una entidad financiera

  1. Bloquear inmediatamente los hashes anteriores en EDR y línea de correo.
  2. Registrar y alertar sobre PowerShell/WMI activando ScriptBlock Logging y reglas Sigma de borrado de copias de volumen.
  3. Mantener respaldos inmutables (air-gapped) y probar su restauración bajo escenarios donde las shadow copies no existan.
  4. Revisar credenciales RDP/VPN y exigir MFA; Akira accedió con cuentas válidas.
  5. Simular la cadena de ataque en un entorno controlado para medir el tiempo de detección y contención.

Etiquetas Relacionadas

#Akira #AtaqueFinanciero #Chile #Ciberseguridad #CifradoDeDatos #Exfiltración #FinTech #FlagshipBank #IncidentResponse #MITRE #Malware #NoticiasCyber #PowerShell #Ransomware #T1486 #T1490 #T1562 #ThreatIntelligence #WMI

Fuentes

https://www.redpacketsecurity.com/akira-ransomware-victim-flagship-bank/
https://dailydarkweb.net/flagship-bank-facing-alleged-ransomware-attack-by-akira-group/
https://dailydarkweb.net/flagship-bank-facing-alleged-ransomware-attack-by-akira-group/