Os Cibercriminosos por Trás do Akira Ransomware Faturaram Mais de US$42 Milhões em um Ano

Os cibercriminosos responsáveis pelo Akira Ransomware acumularam uma soma impressionante de mais de US$42 milhões em apenas um ano, de acordo com relatórios da CISA, do FBI, da Europol e do Centro Nacional de Segurança Cibernética da Holanda (NCSC-NL). As suas actividades nefastas vitimaram mais de 250 entidades em todo o mundo, abrangendo uma série de indústrias, incluindo serviços, indústria transformadora, educação, construção, infra-estruturas críticas, finanças, saúde e sectores jurídicos.

Inicialmente confinado a sistemas Windows, o Akira Ransomware expandiu seu alcance para infectar máquinas virtuais VMware ESXi desde abril de 2023. Além disso, seu arsenal foi reforçado com a integração do Megazord a partir de agosto de 2023, conforme destacado pela CISA, FBI, Europol e NCSC-NL em um comunicado recente.

Os operadores do Akira Ransomware demonstraram um modus operandi sofisticado, explorando vulnerabilidades em serviços VPN sem autenticação multifatorial, aproveitando particularmente pontos fracos conhecidos em produtos Cisco como CVE-2020-3259 e CVE-2023-20269. Eles também empregaram táticas como infiltração de protocolo de desktop remoto (RDP), campanhas de spear-phishing e utilização de credenciais válidas para se infiltrar nos ambientes das vítimas.

Após obterem o acesso inicial, esses agentes de ameaças exibem estratégias de persistência meticulosas, criando novas contas de domínio, extraindo credenciais e conduzindo extenso reconhecimento de rede e controlador de domínio. O comunicado destaca uma evolução notável nas táticas do Akira, com a implantação de duas variantes distintas de ransomware contra diferentes arquiteturas de sistema em um único evento de violação.

Numa tentativa de evitar a detecção e facilitar o movimento lateral, os operadores do Akira desativam sistematicamente o software de segurança. Seu kit de ferramentas inclui uma variedade de aplicativos de software para exfiltração de dados e estabelecimento de comunicação de comando e controle, incluindo FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok e RustDesk.

Semelhante a outros sindicatos de ransomware, o Akira adota um modelo duplo de extorsão, exfiltrando os dados das vítimas antes da criptografia e exigindo pagamento em Bitcoin por meio de canais de comunicação baseados em Tor. Os atacantes aumentam ainda mais a pressão, ameaçando divulgar publicamente os dados exfiltrados na rede Tor e, em alguns casos, contactando diretamente as organizações vitimadas.

Em resposta a este crescente cenário de ameaças, o comunicado fornece aos defensores da rede indicadores de comprometimento (IoCs) associados ao Akira, juntamente com estratégias de mitigação recomendadas para fortalecer as suas defesas contra tais ataques.