Ransomware Akira supera US$ 244 milhões em resgates e compromete sistemas em poucas horas

zairasilva

3 semanas ago

Ransomware Akira supera US$ 244 milhões em resgates e compromete sistemas em poucas horas
Índice

Visão geral do impacto financeiro

O grupo de ransomware identificado como Akira acumulou, desde o final de setembro de 2025, mais de US$ 244 milhões em pagamentos de resgate. O valor, calculado por agências governamentais norte-americanas, sintetiza a capacidade da organização de extorquir vítimas em todo o mundo e confirma sua posição entre as operações cibercriminosas mais lucrativas da atualidade.

Rapidez da exfiltração de dados

Segundo o mesmo alerta, analistas constataram que os operadores do Akira levam pouco mais de duas horas para extrair informações sensíveis após o primeiro acesso bem-sucedido à rede-alvo. Essa janela reduzida dificulta respostas defensivas tradicionais, exigindo das equipes de segurança procedimentos de detecção quase em tempo real.

Como o Akira chega ao ambiente corporativo

A principal rota de invasão envolve e-mails maliciosos combinados ao exploramento de falhas em serviços de VPN. Produtos da marca SonicWall aparecem com frequência nos relatórios, embora outras soluções também sejam visadas. A obtenção de acesso pode ocorrer de diversas maneiras:

• Roubo de credenciais: dados de login são capturados por phishing ou adquiridos em mercados clandestinos.
• Exploração de vulnerabilidades conhecidas: falhas de segurança já documentadas são usadas para execução remota de código.
• Compra de acessos de intermediários (IABs): credenciais previamente comprometidas são negociais em fóruns.
• Ataques de força bruta e password spraying: tentativas automáticas avaliam combinações de senhas fracas em portas expostas na internet.

Métodos de furtividade e escalonamento de privilégios

Uma vez instalado, o ransomware desativa soluções de segurança locais e usa LOLBins – executáveis legítimos já presentes no sistema operacional – para mascarar atividades suspeitas. Para avançar na hierarquia de acesso, o grupo realiza memory dump do processo LSASS, obtendo senhas de contas privilegiadas. Esse mecanismo fornece controle administrativo e viabiliza movimentos laterais silenciosos pela rede.

A criptografia herdada de Conti V2

Os arquivos capturados recebem a extensão .akira e são criptografados por um algoritmo híbrido que combina CryptGenRandom na geração de chaves com ChaCha 2008 na cifra de dados. Cópias de sombra do Windows são removidas, reduzindo as chances de restauração. Em determinadas situações, os criminosos pulam a etapa de criptografia e adotam a extorsão pura, ameaçando vender informações confidenciais caso o pagamento não ocorra.

Valores exigidos nas notas de resgate

No momento em que finalizam a operação, os invasores deixam arquivos como fn.txt ou akira_readme.txt em diretórios raiz e pastas de usuário. Os pedidos podem atingir centenas de milhões de dólares, variando conforme porte da vítima, tipo de dado capturado e urgência negociada. A flexibilidade nas estratégias de pressão indica um modelo de negócio bem estruturado e voltado à maximização de ganhos.

Expansão para ambientes de virtualização

Até meados de 2025, o Akira direcionava esforços a hipervisores VMware ESXi e Hyper-V. Entretanto, a partir de junho, analistas observaram ataques a infraestruturas Nutanix AHV. A transição foi facilitada pela exploração da vulnerabilidade catalogada como CVE-2024-40766, presente em dispositivos SonicWall. Mesmo equipamentos com atualização aplicada foram afetados, apontando ações direcionadas e conhecimento profundo da arquitetura corrigida.

Artigos Relacionados:

Exemplos de vetores adicionais

A porta VPN não é o único caminho. Evidências mostram:

• Acesso por SSH a roteadores com endereços IP expostos, culminando em novos pontos de entrada.
• Aproveitamento de servidores Veeam Backup que permanecem desatualizados.
• Uso de ferramentas legítimas de suporte remoto como AnyDesk e LogMeIn para persistir sem disparar alertas anômalos.

Um caso emblemático: a falência de uma empresa centenária

Entre os incidentes de maior repercussão está o que atingiu a KPN Logistics Group. Fundada há 158 anos, a companhia foi forçada à falência depois que o Akira obteve acesso por meio de uma conta com senha fraca e sem autenticação multifatorial. Após a infiltração, os agentes criptografaram dados críticos, inutilizaram backups e corromperam sistemas de recuperação de desastres, exigindo US$ 5 milhões para devolução dos arquivos.

Técnicas avançadas de evasão e controle

Diferentes camadas de ofuscação sustentam as operações:

• Impacket: biblioteca que permite manipular protocolos de rede e executar comandos remotamente.
• Remoção de EDR: soluções de detecção e resposta são desinstaladas para reduzir visibilidade.
• Criação de contas privilegiadas: usuários falsos são adicionados ao grupo Administradores, garantindo persistência.
• Cópia de VMDK de controladores de domínio: o grupo chega a desligar máquinas virtuais, copiar discos e extrair os arquivos NTDS.dit e SYSTEM, comprometendo todo o repositório de credenciais da organização.
• Tunelamento com Ngrok: canais de comando e controle criptografados escapam de inspeções tradicionais.
• Scripts em PowerShell e WMIC: serviços são desabilitados e tarefas automatizadas instaladas para expansão do ataque.

Extensões e nomenclaturas observadas

Além da terminação .akira, pesquisadores identificam variações como .powerranges, .akiranew e .aki. A multiplicidade dificulta bloqueios baseados apenas em padrões de arquivo e evidencia evolução contínua do código-fonte.

Recomendações de mitigação

Especialistas recomendam um conjunto de ações priorizadas:

1. Correção imediata de vulnerabilidades conhecidas: dispositivos SonicWall, servidores de backup e demais serviços críticos devem permanecer atualizados.
2. Autenticação multifator resistente a phishing: especialmente em acessos via VPN ou serviços expostos à internet.
3. Backups regulares e offline: cópias isoladas do ambiente principal devem ser testadas periodicamente para viabilidade de restauração.
4. Monitoramento de atividades anômalas: detecção de uso de LOLBins, criação de contas administrativas e tentativas de desconectar agentes de segurança.
5. Revisão de políticas de senha: eliminação de credenciais fracas e adoção de gerenciadores com rotatividade programada.
6. Segmentação de rede e princípio do menor privilégio: limitação de movimentos laterais e redução de impacto caso ocorra comprometimento inicial.

Iniciativas de conscientização

O relatório que detalha as táticas do Akira faz parte da campanha #StopRansomware, criada para difundir práticas de proteção e orientar equipes de segurança sobre grupos ativos. A publicação enfatiza que a combinação de patch management rigoroso, MFA abrangente e backups isolados continua sendo o pilar de defesa mais eficaz contra esse tipo de ameaça.

zairasilva

Olá! Eu sou a Zaira Silva — apaixonada por marketing digital, criação de conteúdo e tudo que envolve compartilhar conhecimento de forma simples e acessível. Gosto de transformar temas complexos em conteúdos claros, úteis e bem organizados. Se você também acredita no poder da informação bem feita, estamos no mesmo caminho. ✨📚No tempo livre, Zaira gosta de viajar e fotografar paisagens urbanas e naturais, combinando sua curiosidade tecnológica com um olhar artístico. Acompanhe suas publicações para se manter atualizado com insights práticos e interessantes sobre o mundo da tecnologia.

Conteúdo Relacionado

Go up

Usamos cookies para garantir que oferecemos a melhor experiência em nosso site. Se você continuar a usar este site, assumiremos que você está satisfeito com ele. OK