Alerta de ataque: akira apunta a Advanced Power - GB
Introduction
El 5 de diciembre de 2025, Advanced Power, proveedor británico de equipos eléctricos industriales fundado en 1995, fue víctima de un ciberataque perpetrado por el grupo de ransomware akira. Con una facturación estimada de entre 5 y 10 millones de libras y una plantilla de entre 10 y 50 empleados, esta empresa británica posee datos confidenciales de clientes, sistemas de control industrial e información técnica crítica que podrían estar comprometidos. El incidente, clasificado como SIGNAL según la metodología XC-Classify de DataInTheDark, plantea una gran preocupación en el sector de equipos industriales, especialmente vulnerable a interrupciones operativas. Este ataque forma parte de la estrategia de akira de atacar infraestructuras críticas y redes corporativas con un doble enfoque de extorsión, que combina el cifrado de sistemas con la amenaza de publicar datos extraídos.
El análisis de este incidente revela los crecientes riesgos a los que se enfrentan los proveedores británicos de equipos industriales, cuyos sistemas técnicos y bases de datos de clientes son objetivos prioritarios para los actores maliciosos. Las posibles consecuencias se extienden mucho más allá de Advanced Power, amenazando toda su cadena de suministro y a sus socios industriales. La certificación de este ataque mediante el protocolo XC-Audit en la blockchain de Polygon garantiza una trazabilidad transparente y verificable, lo que permite a las organizaciones del sector evaluar con precisión los riesgos a los que se enfrentan.
Analyse détaillée
Akira ha sido una de las amenazas de ransomware más activas desde su aparición en marzo de 2023. Este colectivo cibercriminal se distingue por su capacidad para comprometer simultáneamente entornos Windows y Linux, con especial experiencia en ataques a servidores VMware ESXi utilizados para la virtualización empresarial. A diferencia de los modelos de ransomware como servicio (RaaS), donde los afiliados alquilan la infraestructura maliciosa, Akira opera de forma independiente, manteniendo un control total sobre sus operaciones y sus víctimas.
El modus operandi de Akira se basa en una estrategia de doble extorsión particularmente formidable. Los atacantes primero exfiltran grandes volúmenes de datos confidenciales antes de desplegar su carga útil de cifrado malicioso. Este enfoque maximiza la presión sobre las víctimas: incluso si cuentan con copias de seguridad funcionales, la amenaza de publicación en el sitio de la filtración alojado en la red Tor persiste. Los rescates exigidos varían considerablemente según el tamaño y la criticidad del objetivo, desde 200.000 dólares hasta 4 millones de dólares, y siempre se exigen en Bitcoin para garantizar el anonimato de las transacciones.
El arsenal técnico de Akira explota varios vectores de ataque iniciales. El grupo se dirige principalmente a servicios VPN sin parches, explotando vulnerabilidades conocidas pero sin parchear para establecer un punto de entrada discreto a las redes corporativas. Las credenciales del Protocolo de Escritorio Remoto (RDP) comprometidas son otro vector preferido, a menudo obtenidas mediante campañas de phishing dirigidas o compras en foros clandestinos. Una vez establecido el acceso inicial, Akira abusa de herramientas legítimas de administración remota para mantener su persistencia y expandir lateralmente su presencia dentro de la red comprometida.
La variante de Windows del ransomware aprovecha la API criptográfica nativa de Microsoft para cifrar archivos, añadiendo la extensión ".akira" a los documentos comprometidos. Los desarrolladores han incorporado una sofisticada lógica de evasión, excluyendo deliberadamente carpetas críticas del sistema del proceso de cifrado para mantener la estabilidad del sistema y evitar una detección prematura. Los sectores educativo, manufacturero y sanitario se encuentran entre los objetivos predilectos del grupo, que continúa perfeccionando sus técnicas de evasión y mejorando la velocidad de cifrado de sus últimas variantes.
Advanced Power, fundada en 1995, se ha consolidado como un actor clave en el mercado británico de equipos eléctricos industriales. Con tres décadas de experiencia, la empresa ha desarrollado una experiencia técnica de vanguardia y ha consolidado una clientela fiel en el sector industrial. Su facturación, estimada entre 5 y 10 millones de libras esterlinas, refleja una importante actividad en un nicho de mercado altamente especializado.
La plantilla de la empresa, de 10 a 50 empleados, refleja una estructura organizativa ágil, típica de las pymes especializadas del sector de equipos industriales. Sin embargo, este tamaño de empresa presenta vulnerabilidades específicas en materia de ciberseguridad: recursos limitados para mantener un equipo de seguridad informática dedicado, presupuestos limitados para soluciones de protección avanzada y posible dependencia de proveedores externos para la gestión de la infraestructura informática.
La naturaleza del negocio de Advanced Power implica el manejo de datos altamente sensibles. La información del cliente incluye especificaciones técnicas detalladas, diagramas de instalación, configuraciones de sistemas de control industrial y, potencialmente, datos relacionados con la infraestructura crítica de sus clientes. Los sistemas de control de supervisión y adquisición de datos (SCADA) utilizados en el sector energético industrial representan objetivos de alto riesgo para actores maliciosos, ya que su vulnerabilidad puede provocar importantes interrupciones operativas.
La ubicación de Advanced Power en el Reino Unido somete a la empresa a un estricto marco regulatorio en materia de protección de datos y seguridad de la infraestructura crítica. El Reino Unido mantiene altos estándares para los proveedores de equipos industriales, especialmente para aquellos que operan en sectores sensibles. La vulnerabilidad de esta empresa plantea interrogantes sobre la seguridad de toda su cadena de suministro y la protección de la información técnica compartida con sus socios industriales.
El incidente del 5 de diciembre de 2025 tiene un perfil de exposición clasificado como SEÑAL según la metodología XC-Classify de DataInTheDark. Este nivel indica la detección temprana de actividad maliciosa, antes de que se confirme una publicación masiva de datos. Esta clasificación permite a las organizaciones del sector anticipar riesgos potenciales y activar proactivamente sus protocolos de respuesta a incidentes.
La naturaleza de los datos en poder de Advanced Power sugiere una exposición multidimensional. La información del cliente probablemente incluya especificaciones técnicas detalladas de instalaciones eléctricas industriales, diagramas de cableado, configuraciones del sistema de distribución de energía y, potencialmente, datos de acceso para sistemas de control. Esta información es de valor estratégico para actores maliciosos que atacan infraestructuras críticas o buscan comprometer a los clientes finales de Advanced Power.
El vector de ataque inicial aún se está investigando, pero el modus operandi documentado de Akira sugiere varios escenarios probables. La explotación de un servicio VPN sin parches es la hipótesis más plausible para una empresa de este tamaño, que a menudo enfrenta restricciones presupuestarias que limitan la frecuencia de las actualizaciones de seguridad. Las credenciales RDP comprometidas representan una alternativa creíble, especialmente si Advanced Power utiliza soluciones de acceso remoto para sus técnicos de campo.
La cronología del incidente indica un descubrimiento el 5 de diciembre de 2025, pero la intrusión inicial podría datar de varias semanas atrás. Akira suele preferir un enfoque paciente, estableciendo una presencia discreta dentro de la red comprometida antes de proceder a la exfiltración masiva de datos y la implementación de ransomware. Esta estrategia permite a los atacantes identificar los activos más valiosos, comprender la arquitectura de la red y desactivar las soluciones de respaldo antes de lanzar la ofensiva final.
Los riesgos para los datos expuestos van mucho más allá de la mera confidencialidad. Las especificaciones técnicas de los equipos eléctricos industriales pueden revelar vulnerabilidades explotables en las instalaciones de los clientes finales. Las configuraciones expuestas de los sistemas de control industrial podrían facilitar ataques posteriores contra infraestructuras críticas. La información contractual y comercial compromete la posición competitiva de Advanced Power y expone a sus clientes al riesgo de ataques secundarios.
Questions Fréquentes
When did the attack by akira on Advanced Power occur?
The attack occurred on December 5, 2025 and was claimed by akira. The incident can be tracked directly on the dedicated alert page for Advanced Power.
Who is the victim of akira?
The victim is Advanced Power and operates in the industrial equipment sector. The company is located in United Kingdom. Visit Advanced Power's official website. To learn more about the akira threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Advanced Power?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Advanced Power has been claimed by akira but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
El ataque contra Advanced Power ilustra las vulnerabilidades sistémicas del sector de equipos industriales del Reino Unido. Los proveedores de equipos eléctricos ocupan una posición estratégica en las cadenas de suministro de infraestructuras críticas, lo que hace que su vulnerabilidad sea especialmente preocupante. Una interrupción en sus operaciones o una fuga de sus datos técnicos pueden desencadenar efectos en cascada que afecten a múltiples sectores que dependen de sus productos y servicios.