Akira Ransomware deposita US$ 42 milhões em pagamentos de resgate em um único ano

Desde o início de 2023, o ransomware Akira atingiu mais de 250 vítimas em todo o mundo e arrecadou mais de US$ 42 milhões em pagamentos de resgate, de acordo com a CISA, o FBI, a Europol e o Centro Nacional de Segurança Cibernética da Holanda (NCSC-NL).

Os operadores do ransomware Akira foram observados atacando organizações em vários setores, incluindo serviços e bens, manufatura, educação, construção, infraestrutura crítica, finanças, saúde e setores jurídicos.

Inicialmente focado em sistemas Windows, o Akira expandiu seu alcance para infectar máquinas virtuais VMware ESXi desde abril de 2023 e tem sido usado em conjunto com o Megazord desde agosto de 2023, conforme destacado em um comunicado da CISA, FBI, Europol e NCSC-NL.

Para obter acesso inicial, os operadores do ransomware Akira visaram serviços VPN sem autenticação multifator, explorando principalmente vulnerabilidades conhecidas em produtos Cisco (como CVE-2020-3259 e CVE-2023-20269). Eles também utilizaram protocolo de desktop remoto (RDP), spear-phishing e credenciais roubadas para violar os ambientes das vítimas.

Depois de obter acesso, os agentes da ameaça criaram novas contas de domínio para persistência, incluindo contas administrativas em alguns casos, extraíram credenciais e realizaram reconhecimento de rede e de controladores de domínio.

Ator de ameaça que opera Akira executa duas variantes distintas

Com base em investigações confiáveis de terceiros, os agentes de ameaças Akira foram observados implantando duas variantes distintas de ransomware visando diferentes arquiteturas de sistema dentro do mesmo evento de comprometimento. Isso representa uma mudança em relação à atividade de ransomware Akira relatada anteriormente, afirmou o comunicado.

Em preparação para o movimento lateral dentro das redes, os operadores do Akira desativaram o software de segurança para evitar a detecção. Eles também foram observados usando ferramentas como FileZilla, WinRAR, WinSCP e RClone para exfiltração de dados, e AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok e RustDesk para estabelecer comunicação de comando e controle (C&C).

Semelhante a outros grupos de ransomware, o Akira exfiltra os dados das vítimas antes de criptografá-los. As vítimas são instruídas a entrar em contato com os invasores por meio de um site baseado em Tor e posteriormente direcionadas a pagar o resgate em Bitcoin.

Para aplicar mais pressão, os agentes da ameaça Akira ameaçam publicar dados exfiltrados na rede Tor e até contactaram empresas vitimadas em alguns casos, observaram a CISA, o FBI, a Europol e a NCSC-NL.