O ransomware Akira já arrecadou mais de US$ 244 milhões desde o final de setembro de 2025. Um alerta emitido por agências governamentais dos Estados Unidos revelou a magnitude dos lucros do grupo, além de detalhes sobre suas operações, destacando que os criminosos conseguem exfiltrar dados em apenas 2 horas após o acesso inicial.
O Akira se dissemina principalmente através de e-mails maliciosos e pela exploração de falhas em VPNs. Uma vez infiltrado no sistema, o ransomware age de forma furtiva, desativando soluções de segurança e utilizando LOLBins, ferramentas legítimas já instaladas nos computadores, para executar ações maliciosas sem levantar suspeitas. Para obter privilégios elevados, ele rouba credenciais por meio do dump da memória do processo LSASS.
Como funciona o Akira
A criptografia utilizada pelo Akira deriva da mesma base do Conti V2, usando algoritmos como CryptGenRandom e ChaCha 2008. Os arquivos comprometidos recebem a extensão .akira, e o ransomware também apaga cópias de sombra dos arquivos, impedindo tentativas de recuperação. Em alguns casos, os atacantes não se preocupam em criptografar os dados, limitando-se a extorquir as vítimas, que são ameaçadas com a venda ou divulgação dos dados se o pagamento não for feito.
Ao final do ataque, uma nota de resgate é deixada, frequentemente com valores exorbitantes que podem chegar a centenas de milhões de dólares.
Desde junho deste ano, o grupo começou a atacar ambientes Nutanix AHV, criptografando os arquivos de disco das máquinas virtuais. Isso é relevante, pois anteriormente eles focavam em VMware ESXi e Hyper-V. Para esses ataques, exploraram uma vulnerabilidade da SonicWall, identificada como CVE-2024-40766.
O mais alarmante é que eles estavam conseguindo comprometer até dispositivos SonicWall que já tinham o patch aplicado, confirmando relatos prévios de ataques direcionados.
Vetores de ataque
Os produtos de VPN, especialmente SonicWall, se tornaram a porta de entrada preferida do grupo. Eles utilizam uma variedade de abordagens simultâneas: roubo de credenciais de login, exploração de vulnerabilidades conhecidas, compra de acesso de IABs (intermediários que vendem credenciais comprometidas) e ataques de força bruta e password spraying em endpoints de VPN.
Além disso, o grupo explora outras brechas, como obter acesso via protocolo SSH atacando endereços IP de roteadores. Após ganhar acesso à rede, as equipes de ataque procuram por vulnerabilidades em servidores Veeam Backup que não foram atualizados.
Para manter a persistência e se mover lateralmente pela rede, eles utilizam ferramentas de acesso remoto legítimas, como AnyDesk e LogMeIn, o que os ajuda a se misturar com as atividades normais de administração.
Um caso notório relacionado ao grupo é o ataque ao KPN Logistics Group, uma empresa com 158 anos que foi à falência após ser alvo de ransomware. Na ocasião, o Akira obteve acesso aos sistemas por meio de uma senha fraca de um usuário em uma conta sem autenticação multifatorial. Assim que entraram, os atacantes criptografaram dados, destruíram backups e sistemas de recuperação, exigindo £5 milhões para liberar as informações roubadas.
Técnicas sofisticadas de evasão
As táticas de evasão empregadas por esse grupo são sofisticadas. Eles utilizam o Impacket para manipular protocolos de rede e executar comandos remotamente. Para evitar detecções, desinstalam sistemas de EDR e criam novas contas de usuário, adicionando-as ao grupo de administradores.
Em alguns casos, eles desligaram temporariamente a máquina virtual do controlador de domínio, copiaram arquivos VMDK (disco rígido virtual usado em virtualizações), anexaram esses arquivos a uma nova VM e extraíram o arquivo NTDS.dit e o hive do SYSTEM, comprometendo uma conta de administrador de domínio com privilégios elevados.
O controlador de domínio é onde são armazenadas todas as senhas da empresa, e normalmente esse arquivo está protegido, evitando a cópia enquanto o sistema está ativo.
Os invasores realizaram o seguinte: desligaram a máquina virtual, copiaram o disco rígido virtual completo e montaram essa cópia em outra máquina sob seu controle, semelhante a retirar o HD de um computador desligado e conectá-lo a outro.
Com o acesso a essa cópia, conseguiram obter o arquivo contendo todas as senhas da empresa, incluindo a senha do administrador principal. Com essa senha, conseguiram controle total sobre toda a rede.
Utilizam ferramentas de tunelamento, como Ngrok, para estabelecer canais de comando e controle criptografados que permanecem invisíveis aos sistemas de monitoramento de perímetro. Também fazem uso de PowerShell e WMIC para desabilitar serviços e rodar scripts maliciosos. A criptografia que utilizam é complexa e híbrida, e os arquivos criptografados recebem extensões como .akira, .powerranges, .akiranew ou .aki. As notas de resgate aparecem sob os nomes fn.txt ou akira_readme.txt nos diretórios raiz e nas pastas de usuários.
Como se proteger
As recomendações para mitigar os riscos associados ao Akira incluem a priorização da correção de vulnerabilidades conhecidas e exploradas, a implementação de autenticação multifatorial resistente a phishing para todos os acessos — especialmente em VPNs — e a manutenção de backups regulares armazenados offline, com testes periódicos de restauração. O alerta faz parte da iniciativa #StopRansomware, que fornece orientações para ajudar equipes de segurança a entender e se proteger contra as variantes e grupos de ransomware ativos.
Acompanhe o TecMundo nas redes sociais. Para mais notícias sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
