Akira Ransomware ultrapassa US$ 244 milhões em receitas ilícitas – Against Invaders

Akira Ransomware ultrapassa US$ 244 milhões em receitas ilícitas - Against Invaders

O ransomware Akira reivindicou aproximadamente US$ 244,17 milhões em receitas de ransomware desde o final de setembro de 2025.

Isso está de acordo com uma nova junta Consultoria em segurança cibernética publicado em 14 de novembro por agências governamentais dos EUA e parceiros internacionais, que observaram em alguns incidentes que os agentes de ameaças Akira exfiltraram dados em pouco mais de duas horas a partir do acesso inicial.

Akira explora vulnerabilidades da SonicWall

Em junho de 2025, os operadores de ransomware Akira demonstraram uma evolução significativa em suas táticas ao criptografar os arquivos de disco da máquina virtual Nutanix AHV pela primeira vez, observou o comunicado.

Isso marca um afastamento de seu foco anterior em ambientes VMware ESXi e Hyper-V.

O grupo de ransomware aproveitou a vulnerabilidade CVE-2024-40766 da SonicWall para obter o acesso necessário e executar o ataque.

Esta última atualização confirma relatórios anteriores de vários provedores de detecção de ameaças que Akira tinha como alvo até mesmo dispositivos SonicWall corrigidos.

Os agentes de ameaças Akira obtêm acesso a produtos VPN, como a SonicWall, roubando credenciais de login ou explorando vulnerabilidades.

O grupo também usa agentes de acesso inicial (IABs) para credenciais VPN comprometidas. Também há notas de que endpoints VPN de força bruta e técnicas de pulverização de senha foram usadas para obter acesso às credenciais da conta.

Parede da SonicWall já pediu aos clientes que importaram as definições de configuração da 6ª geração para firewalls mais recentes para atualizar para o SonicOS 7.3, que tem proteção integrada contra ataques de senha de força bruta e MFA (bypass de autenticação multifator).

Akira visa SSH e Veeam para violar redes

Em outros incidentes, os indicadores sugeriram que os agentes de ameaças Akira obtiveram acesso inicial por meio do protocolo Secure Shell (SSH), explorando o endereço IP de um roteador, observou o comunicado.

Depois de fazer o tunelamento por meio de um roteador de destino, os agentes de ameaças do Akira exploram vulnerabilidades disponíveis publicamente, como as encontradas no Veeam Backup e Replicação de servidores de backup da Veeam sem patch.

O grupo de criminosos também aproveita ferramentas de acesso remoto, como AnyDesk e LogMeIn, para manter a persistência e girar lateralmente uma vez dentro de uma rede. Isso permite que eles se misturem com a atividade do administrador.

Os agentes de ameaças Akira aproveitam o Impacket, uma ferramenta de código aberto projetada para manipulação de protocolo de rede, para executar o comando remoto wmiexec.py. Para evitar a detecção, os agentes de ameaças Akira implementam técnicas como a desinstalação de sistemas de detecção e resposta de endpoint (EDR).

Akira também foi observado pelas organizações que criam o comunicado criando novas contas de usuário e adicionando-as ao grupo de administradores para estabelecer uma posição no ambiente.

Em um incidente, a proteção de arquivos VMDK (Disco de Máquina Virtual) foi ignorada desligando temporariamente a VM do controlador de domínio, copiando os arquivos VMDK e anexando-os a uma VM recém-criada. Essa sequência de ações permitiu que eles extraíssem o arquivo NTDS.dit e o hive SYSTEM, comprometendo a conta de um administrador de domínio altamente privilegiado.

Os operadores de ransomware Akira estão usando ferramentas de tunelamento como o Ngrok para estabelecer canais criptografados de comando e controle (C2) que evitam o monitoramento do perímetro. Eles também aproveitam o PowerShell e o WMIC para desabilitar serviços e executar scripts maliciosos, permitindo um comprometimento mais profundo do sistema.

Esquemas sofisticados de criptografia híbrida são usados para bloquear dados e o 13 de novembro atualizado não que os arquivos criptografados são anexados com uma extensão .akira ou .powerranges, ou com .akiranew ou .aki.

Uma nota de resgate chamada fn.txt ou akira_readme.txt aparece no diretório raiz (C:) e no diretório inicial de cada usuário (C:Users).

Recomendações de mitigação

As organizações são incentivadas a implementar as recomendações do Seção de mitigações da segurança cibernética para reduzir a probabilidade e o impacto dos incidentes de ransomware Akira. Esses incluem:

  • Priorize a correção de vulnerabilidades exploradas conhecidas
  • Habilitar e aplicar a autenticação multifator (MFA) resistente a phishing
  • Mantenha backups regulares de dados críticos, garanta que os backups sejam armazenados offline e teste regularmente o processo de restauração

Este comunicado conjunto de segurança cibernética faz parte de um #StopRansomware esforço para publicar avisos para defensores de rede que detalham várias variantes de ransomware e agentes de ameaças de ransomware.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.