El ransomware Akira y los ataques a Microsoft 365 se consolidan como principales amenazas

El ransomware Akira y los ataques dirigidos a cuentas de Microsoft 365 se han situado entre las amenazas más activas del mes, según el último análisis de Barracuda. Los expertos en ciberseguridad han detectado un repunte significativo en los intentos de intrusión, especialmente a través de dispositivos VPN SonicWall vulnerables y mediante scripts maliciosos escritos en Python.

 

De la infección al cifrado en segundos

Akira, un grupo de ransomware como servicio, continúa evolucionando sus tácticas. Aunque la vulnerabilidad CVE-2024-40766 ya fue parcheada hace más de un año, muchos usuarios no han aplicado la actualización, lo que permite a los atacantes explotar credenciales robadas para interceptar contraseñas de un solo uso (OTP) y generar tokens válidos de inicio de sesión. Esta técnica les permite eludir la autenticación multifactor (MFA), incluso en sistemas que han sido actualizados.

Una de las características más preocupantes de Akira es su velocidad de ejecución. El grupo pasa rápidamente de la infección al cifrado de archivos, utilizando herramientas legítimas como software de supervisión y gestión remota (RMM) para evitar ser detectado. Además, desactiva sistemas de seguridad y copia de seguridad, dificultando la recuperación de los datos comprometidos.

Barracuda ya había emitido una alerta sobre esta amenaza en agosto, pero tres meses después, el nivel de peligro sigue siendo elevado. La persistencia de Akira y su capacidad para adaptarse a nuevas defensas lo convierten en una amenaza crítica para organizaciones de todos los tamaños.

 

Microsoft 365 en el punto de mira

Los servicios de Microsoft 365 siguen siendo uno de los principales objetivos de los ciberdelincuentes. Barracuda ha observado un aumento en la actividad de inicio de sesión inusual, con accesos desde ubicaciones, dispositivos o franjas horarias que no coinciden con el comportamiento habitual del usuario. Estos patrones pueden indicar que las credenciales han sido comprometidas y están siendo utilizadas por terceros para acceder a información sensible.

La popularidad de Microsoft 365 como herramienta de productividad empresarial, con múltiples aplicaciones integradas, lo convierte en un blanco recurrente para los atacantes, que buscan explotar su alcance y centralidad en las operaciones corporativas.

 

Python como aliado del ciberdelito

Otro hallazgo relevante es el aumento del uso de scripts en Python en campañas de phishing y automatización de ataques. Herramientas como Mimikatz, PowerShell y scripts de relleno de credenciales están siendo ejecutadas mediante Python para evitar la detección y acelerar los procesos maliciosos.

Estos scripts permiten a los atacantes simular programas legítimos, reducir la intervención manual —que podría activar alertas de seguridad— y ejecutar múltiples operaciones simultáneamente, como la búsqueda de vulnerabilidades y la extracción de datos. Esta automatización incrementa la eficiencia de los ataques y reduce el margen de tiempo para que las defensas actúen.