# Akira Veeam Campaign 2024 > [!critical] > Em junho de 2024, o grupo **Akira** (Storm-1567) atacou uma companhia aérea latino-americana explorando **CVE-2023-27532** no Veeam Backup & Replication, completando toda a intrusão - desde acesso inicial até implantação do ransomware - em apenas **133 minutos**. O caso é estudado como exemplo de ataque ultrarrápido a infraestrutura crítica de transporte na América Latina. ## Visão Geral O [[akira-ransomware]] (rastreado pela Microsoft como Storm-1567) é um grupo RaaS surgido em março de 2023, construído em Rust e C++, que se tornou uma das operações de ransomware mais prolíficas de 2023-2024. Em junho de 2024, o grupo executou um ataque cirúrgico e extremamente veloz contra uma companhia aérea não identificada da América Latina. O vetor de acesso inicial foi a exploração de [[CVE-2023-27532]], uma vulnerabilidade crítica (CVSS 7.5) no Veeam Backup & Replication que permite a um atacante não autenticado na rede interna extrair credenciais de configuração e obter acesso ao servidor de backup. O Veeam é um dos softwares de backup corporativo mais utilizados no mundo - e sua posição privilegiada na rede (com acesso a práticamente todos os servidores para backup) o torna um alvo de altíssimo valor para grupos de ransomware. Após o acesso inicial via SSH utilizando credenciais obtidas do Veeam, os atacantes realizaram reconhecimento mínimo e começaram imediatamente a exfiltração de dados via WinSCP - uma ferramenta de transferência de arquivos legítima usada como Living Off the Land. O payload do Akira (denominado `w.exe` neste incidente) foi então implantado e executado. A cronologia completa do incidente, reconstruída pela Sophos X-Ops, foi de apenas 133 minutos do acesso inicial à criptografia completa. Para o Brasil e América Latina, este caso é particularmente relevante porque: (1) confirma que o Akira está ativamente mirando a região; (2) demonstra que o CVE-2023-27532 estava sendo explorado contra alvos reais na região; (3) o setor de [[transportation|aviação]] é infraestrutura crítica - ataques similares a GOL, LATAM ou Azul poderiam ter impacto massivo na conectividade regional. ## Attack Flow ```mermaid graph TB A["🔓 CVE-2023-27532 Explorado<br/>Veeam Backup & Replication<br/>Credenciais extraídas sem autenticação"] --> B["🔐 Acesso SSH com Credenciais<br/>Login na rede da companhia aérea<br/>T+0 min"] B --> C["🔍 Reconhecimento Mínimo<br/>Identificação de alvos críticos<br/>T+15 min"] C --> D["📦 Exfiltração WinSCP<br/>Dados sensíveis copiados<br/>Voo operacional + financeiros<br/>T+30 min"] D --> E["💥 Deploy w.exe - Akira<br/>Ransomware Rust implantado<br/>T+90 min"] E --> F["🔒 Criptografia Total<br/>Extensão .akira em arquivos<br/>T+133 min - ataque concluído"] ``` **Legenda:** [[T1190-exploit-public-facing-application|T1190]] · [[T1021-004-ssh|T1021.004]] · [[T1486-data-encrypted-for-impact|T1486]] ## Cronologia do Incidente (133 minutos) ```mermaid timeline title Akira - Companhia Aérea LATAM - Jun 2024 T+0 min : CVE-2023-27532 explorado : Credenciais Veeam obtidas T+15 min : Login SSH com credenciais : Reconhecimento inicial T+30 min : WinSCP instalado : Exfiltração de dados iniciada T+90 min : w.exe (Akira) copiado para alvos : Serviços interrompidos (T1489) T+133 min : Criptografia completa concluída : Nota de resgate implantada Jun 2024 : Sophos X-Ops publica análise forense ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Exploit de Aplicação Pública | [[T1190-exploit-public-facing-application\|T1190]] | CVE-2023-27532 no Veeam | | Acesso Inicial | SSH | [[T1021-004-ssh\|T1021.004]] | Login com credenciais Veeam | | Coleta | Compressão de Dados | [[T1560-001-archive-collected-data\|T1560.001]] | Dados comprimidos antes da exfil | | Exfiltração | Ferramenta Legítima | [[T1041-exfiltration-over-c2-channel\|T1041]] | WinSCP para transferência | | Impacto | Dados Criptografados | [[T1486-data-encrypted-for-impact\|T1486]] | Akira Rust payload (w.exe) | | Impacto | Interrupção de Serviços | [[T1489-service-stop\|T1489]] | Serviços críticos interrompidos | | Impacto | Inibição de Recuperação | [[T1490-inhibit-system-recovery\|T1490]] | Shadow copies e backups Veeam comprometidos | ## CVE-2023-27532 - Vetor Central [[CVE-2023-27532]] é uma vulnerabilidade crítica no Veeam Backup & Replication (afeta versões < 12.1): - **Tipo**: Extração de credenciais sem autenticação via API interna - **CVSS**: 7.5 (network-accessible, sem autenticação requerida) - **Impacto**: Permite obter credenciais de backup em texto claro da configuração do Veeam - **Por que é perigoso**: O Veeam possui contas privilegiadas para todos os servidores que faz backup - **Patch**: Versão 12.1 e patches de março 2023 corrigem a vulnerabilidade - **Estado**: Amplamente explorado em ataques reais por Akira, Black Basta e outros grupos ## Relevância LATAM O ataque à companhia aérea latino-americana é a confirmação mais clara de que o [[akira-ransomware]] tem a América Latina como região ativa. O setor de [[transportation|aviação]] - com GOL, LATAM Airlines, Azul, Avianca e outras operadoras - é infraestrutura crítica regional. A velocidade do ataque (133 minutos) significa que janelas de detecção são extremamente curtas. Organizações brasileiras que utilizam Veeam Backup devem verificar urgentemente se aplicaram o patch do [[CVE-2023-27532]] e auditar se o servidor Veeam está exposto na rede interna. ## Detecção e Defesa - Aplicar patch do [[CVE-2023-27532]] imediatamente (Veeam 12.1 ou patches de março 2023) - Isolar o servidor Veeam em VLAN dedicada - acesso apenas de servidores de gerenciamento - Monitorar acesso à API do Veeam (porta 9401/9395) de IPs não autorizados - Alertar sobre uso de WinSCP ou SCP em servidores que não realizam transferências regulares - Monitorar criação de arquivos `.akira` ou mudanças massivas de extensão de arquivo - Detectar deleção de volume shadow copies (`vssadmin.exe delete shadows`) - Consultar [[M1051-update-software|M1051]], [[M1030-network-segmentation|M1030]] e [[M1053-data-backup|M1053]] para controles prioritários ## Referências - [1](https://news.sophos.com/en-us/2024/08/14/akira-ransomware-deploys-in-133-minutes/) Sophos X-Ops - Akira Ransomware Deploys in 133 Minutes (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a) CISA - Akira Ransomware (AA24-109A) (2024) - [3](https://attack.mitre.org/software/S1129/) MITRE ATT&CK - Akira (S1129) - [4](https://www.bleepingcomputer.com/news/security/akira-ransomware-targeting-veeam-backup-servers/) BleepingComputer - Akira Ransomware Targeting Veeam Backup Servers (2024) - [5](https://nvd.nist.gov/vuln/detail/CVE-2023-27532) NVD - CVE-2023-27532 Veeam Backup & Replication (2023)