{
	"id": "3dabdeb8-a166-415a-94d8-8d526ea87eee",
	"created_at": "2026-04-06T00:15:21.214784Z",
	"updated_at": "2026-04-10T03:27:57.404132Z",
	"deleted_at": null,
	"sha1_hash": "d97480e110d1df5a2e86fa4f1e41d31d74c3f938",
	"title": "Negociaciones con el grupo de ransomware Akira: un enfoque desaconsejado",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 127115,
	"plain_text": "Negociaciones con el grupo de ransomware Akira: un enfoque\r\ndesaconsejado\r\nBy newschu\r\nPublished: 2025-05-05 · Archived: 2026-04-05 16:58:49 UTC\r\nAlgunas entidades afectadas por ciberataques optan por negociar con actores de amenazas, como el grupo de\r\nransomware Akira, una práctica que no es recomendable en absoluto. Negociar con estos ciberdelincuentes rara\r\nvez garantiza la recuperación de los datos o la no publicación de la información robada.\r\nCómo opera Akira: el archivo akira_readme.txt\r\nCuando una entidad es víctima de Akira, recibe un archivo de texto llamado akira_readme.txt. Este archivo\r\ncontiene instrucciones detalladas para contactar a los ciberdelincuentes. \r\nHabitualmente, incluye un ID único que permite a las víctimas iniciar sesión en una página de negociación en la\r\nDark Web, diseñada por Akira para interactuar con sus objetivos. A través de esta plataforma, los atacantes\r\nhttps://www.security-chu.com/2025/05/entidades-negociando-con-el-grupo-akira-ransomware.html\r\nPage 1 of 5\n\ngestionan las demandas de rescate y, en muchos casos, presionan a las víctimas para que paguen.\r\nnota de rescate del grupo akira\r\nSeguimiento de los intentos de negociación\r\nTras un análisis detallado, identificamos cuatro chats de distintas empresas que intentaron dialogar con Akira tras\r\nser atacadas. Algunas de estas empresas aún figuraban como víctimas en el sitio web del grupo. \r\nDías después de las negociaciones fallidas, en las que no se logró un acuerdo económico, los datos de estas\r\ncompañías fueron publicados en el sitio de filtraciones de Akira, alojado en la Dark Web —una parte de internet\r\nno indexada, accesible solo mediante navegadores especializados como Tor, donde los ciberdelincuentes suelen\r\ncompartir información robada.\r\nDe los cuatro casos analizados, tres entidades se negaron a negociar, mientras que solo una realizó\r\nun pago en Bitcoin. A continuación, presento algunos fragmentos de las conversaciones entre\r\nAkira y los negociadores de las entidades.\r\nPrimer caso: Las increibles \"ofertas\" que hace akira pero la entidad se negó a\r\npagar\r\nEntidad: Nos gustaría saber qué datos nos robaste.\r\nAkira: Hola. Has contactado con el chat de soporte de Akira. Estamos preparando la lista de datos que\r\nobtuvimos de tu red. Por ahora, debes saber que contactarnos es la mejor manera de resolver esto\r\nde forma rápida y económica. Mantente en contacto y ten paciencia. Nos pondremos en contacto\r\ncontigo pronto. ¿Tienes permiso para negociar en nombre de tu organización? Una vez que\r\nrecibamos una respuesta, te proporcionaremos todos los detalles.\r\nEntidad: Sí\r\nhttps://www.security-chu.com/2025/05/entidades-negociando-con-el-grupo-akira-ransomware.html\r\nPage 2 of 5\n\nAkira: list().txt, Estos archivos se obtuvieron de tu red antes del cifrado. Puedes elegir de 2 a 3 archivos\r\naleatorios de hasta 10 MB cada uno de la lista y los subiremos a este chat como prueba de posesión.\r\nPara demostrar que podemos descifrar tus datos correctamente, puedes subir de 2 a 3 archivos\r\ncifrados de hasta 10 MB cada uno a nuestro chat y te enviaremos copias descifradas.\r\n A esta empresa le exigían 450,000 dólares. Después de algunos días, le ofrecieron una \"oferta\" de 400,000\r\ndólares. La empresa dejó de responder, mientras el soporte intentaba apresurar el trato, hasta que los datos fueron\r\npublicados.\r\nLos grupos de ransomware afirman que esta vía es más rápida y económica. Además, insisten en que demostrar\r\nsu descifrador puede hacer que las víctimas caigan en esta charla tan cordial con el soporte de Akira.\r\nSegundo Caso: víctima de Estados Unidos paga en Bitcoin\r\nAkira: Nosotros obtuvimos sus datos. Podemos descifrarlos correctamente y restaurar su infraestructura\r\nen poco tiempo.\r\nEntidad:Lo máximo que tenemos son entre 10 y 15 mil dólares, y podríamos pedir prestado un poco\r\nmás. Pero como dije, somos una pequeña empresa que lleva más de medio año en una fase de baja\r\nactividad. Apenas estamos empezando nuestra temporada alta para ganar lo suficiente para el resto del\r\naño.\r\nEntidad: Saben que tenemos sistemas muy antiguos y no podemos permitirnos actualizarlos. No\r\ntenemos copias de seguridad y no podemos trabajar en absoluto. \r\nAl final de esta conversación, el soporte de Akira aceptó la oferta de la empresa. Inicialmente, exigía 75,000\r\ndólares, pero redujo la cifra a 25,000 dólares. \r\nEn una nueva dirección de Bitcoin, se transfirieron algunos bitcoins de prueba y, posteriormente, el resto de los\r\nbitcoins prometidos. Finalmente, la empresa desapareció del sitio de Akira ransomware, el chat entre Akira y\r\nla entidad fue eliminado.\r\nUna víctima de ransomware pagando a Akira en su cuenta de Bitcoin\r\nLa víctima siguió preguntando sobre cómo restaurar sus sistemas encriptados. El soporte de Akira envió un\r\ndesencriptador llamado unlocker.exe con instrucciones para proceder con la desencriptación de los sistemas. \r\nhttps://www.security-chu.com/2025/05/entidades-negociando-con-el-grupo-akira-ransomware.html\r\nPage 3 of 5\n\nAdemás, la entidad preguntó cómo habían sido atacados. El soporte proporcionó un informe inicial que decía lo\r\nsiguiente:\r\nEl acceso inicial a su red se compró en la dark web. Posteriormente, se realizó un\r\nkerberoasting y obtuvimos los hashes de las contraseñas. Después, los extrajimos y\r\nobtuvimos la contraseña de administrador del dominio.\r\nTras semanas de análisis de su red, hemos detectado algunos fallos que recomendamos\r\nencarecidamente eliminar.\r\nTercer caso: entidad ignora pagar\r\nLa tercera entidad se puso en contacto con el soporte de Akira, preguntándoles directamente que encontró la nota\r\nde rescate y que estaba dispuesta a trabajar en una solución. Akira insistió en que la empresa debía mejorar su\r\nseguridad y le entregó una lista de los archivos comprometidos. \r\nAdemás, preguntó a la empresa si trabajaría con ellos, adjuntando un precio de 550,000 dólares. El soporte volvió\r\na preguntar si estaba lista para pagar. La empresa respondió que intentaba organizar sus archivos para poder\r\nproceder con el pago. Akira presionó nuevamente, advirtiendo que esperaba su decisión ese mismo día o, de lo\r\ncontrario, los datos serían publicados. Verificamos que la entidad aún no está listada ni filtrada en la página\r\nde Akira.\r\nCuarto caso: Entidad solo negocia el costo\r\nLa cuarta entidad se puso en contacto con el chat de Akira, solicitando únicamente el costo del pago para\r\nevaluar si era más conveniente que restaurar sus sistemas. Akira exigió un pago de 1,000,000 de dólares y\r\nespecificó que, si los fondos se retiraban de una cuenta bancaria, la empresa debía informar al banco que el dinero\r\nera únicamente para una inversión.\r\nLa empresa respondió que era demasiado dinero y añadió que reconstruir todos los datos en un nuevo sistema\r\nle tomaría solo dos semanas, por lo que no pagaría más de 50,000 dólares. \r\nEl chantaje continuó por parte de Akira, quien amenazó con publicar 22.5 GB de información en su blog. Al\r\nverificar, constatamos que la entidad aún no ha sido publicada en el blog.\r\nAdvertencia: Por qué no negociar y qué hacer en su lugar\r\nLos intentos de negociación con Akira, como los documentados, demuestran que esta estrategia es arriesgada e\r\nineficaz. Pagar un rescate no asegura que los datos sean recuperados ni que se evite su filtración. Además,\r\nfinanciar a estos grupos fortalece sus operaciones y aumenta la probabilidad de futuros ataques.\r\nEn lugar de negociar, las entidades deben priorizar:\r\nRespuesta inmediata: Aislar los sistemas comprometidos y notificar a las autoridades de ciberseguridad.\r\nRecuperación de datos: Utilizar copias de seguridad protegidas para restaurar la información.\r\nhttps://www.security-chu.com/2025/05/entidades-negociando-con-el-grupo-akira-ransomware.html\r\nPage 4 of 5\n\nPrevención: Implementar autenticación multifactor, aplicar parches de seguridad y capacitar al personal contra\r\ntácticas como el phishing.\r\nFortalecer la ciberseguridad es la mejor defensa contra grupos como Akira. Evitar el contacto con estos actores y\r\nadoptar medidas proactivas protegerá mejor a las organizaciones frente a estas amenazas.\r\nSource: https://www.security-chu.com/2025/05/entidades-negociando-con-el-grupo-akira-ransomware.html\r\nhttps://www.security-chu.com/2025/05/entidades-negociando-con-el-grupo-akira-ransomware.html\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.security-chu.com/2025/05/entidades-negociando-con-el-grupo-akira-ransomware.html"
	],
	"report_names": [
		"entidades-negociando-con-el-grupo-akira-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "8c8fea8c-c957-4618-99ee-1e188f073a0e",
			"created_at": "2024-02-02T02:00:04.086766Z",
			"updated_at": "2026-04-10T02:00:03.563647Z",
			"deleted_at": null,
			"main_name": "Storm-1567",
			"aliases": [
				"Akira",
				"PUNK SPIDER",
				"GOLD SAHARA"
			],
			"source_name": "MISPGALAXY:Storm-1567",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "910b38e9-07fe-4b47-9cf4-e190a07b1b84",
			"created_at": "2024-04-24T02:00:49.516358Z",
			"updated_at": "2026-04-10T02:00:05.309426Z",
			"deleted_at": null,
			"main_name": "Akira",
			"aliases": [
				"Akira",
				"GOLD SAHARA",
				"PUNK SPIDER",
				"Howling Scorpius"
			],
			"source_name": "MITRE:Akira",
			"tools": [
				"Mimikatz",
				"PsExec",
				"AdFind",
				"Akira _v2",
				"Akira",
				"Megazord",
				"LaZagne",
				"Rclone"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434521,
	"ts_updated_at": 1775791677,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d97480e110d1df5a2e86fa4f1e41d31d74c3f938.pdf",
		"text": "https://archive.orkl.eu/d97480e110d1df5a2e86fa4f1e41d31d74c3f938.txt",
		"img": "https://archive.orkl.eu/d97480e110d1df5a2e86fa4f1e41d31d74c3f938.jpg"
	}
}