akira-group - RunkIntel

# Akira Group > [!danger] Akira Ransomware Group - US$ 244 Milhões Extorquidos, 250+ Vítimas, Expansão para ESXi e Nutanix > O **Akira Group** é uma operação de Ransomware-as-a-Service (RaaS) ativa desde março de 2023, responsável por extorquir **US$ 244 milhões** de mais de 250 organizações em América do Norte, Europa e Austrália até setembro de 2025. O grupo expandiu progressivamente suas capacidades: de ransomware Windows (2023) para Linux/VMware ESXi (2023), Hyper-V e, em 2025, **Nutanix AHV** - cobrindo os principais hypervisors empresariais. Suspeita-se de ligação com ex-membros do grupo **Conti**. Em novembro de 2025, o FBI, CISA, Europol e parceiros internacionais emitiram advisory conjunto atualizado classificando o Akira como **ameaça iminente à infraestrutura crítica**. ## Visão Geral O **Akira Group** emergiu em março de 2023 como uma operação RaaS de perfil crescente. Em menos de dois anos, tornou-se um dos grupos de ransomware mais ativos e financeiramente bem-sucedidos do ecossistema. A pesquisa de segurança aponta forte sobreposição de código e TTPs com o antigo **grupo Conti** - que se dissolveu em 2022 após o vazamento de dados e a sanção de operadores russos - sugerindo que o Akira Group é operado por pelo menos uma fração dos ex-membros. **Características operacionais distintivas:** - **Multi-plataforma**: Windows (C++), Linux/ESXi (variante Akira_v2 em Rust), Hyper-V, Nutanix AHV - **Dupla extorsão**: exfiltra dados antes de cifrar; ameaça públicação no site Tor se não houver pagamento - **Velocidade**: casos documentados de exfiltração completa em **menos de 2 horas** após o acesso inicial - **Sem demanda inicial**: o grupo não deixa valor de resgaté na nota - vítima precisa contatar via Tor para receber o valor - **Sem MFA = alvo prioritário**: foco em VPNs e appliances sem MFA como vetor de entrada principal - **Encriptação híbrida**: ChaCha20 + RSA para máxima velocidade sem comprometer segurança da chave **Expansão de capacidades em 2025:** Em junho de 2025, operadores Akira cifraram pela primeira vez discos Nutanix AHV explorando o **CVE-2024-40766** (SonicWall). Também foi documentado o uso de técnicas BYOVD (Bring-Your-Own-Vulnerable-Driver) para desabilitar EDR em nível de kernel - uma evolução técnica significativa. **Relevância para o Brasil:** O Akira tem alvos confirmados em múltiplos países da América Latina. Organizações brasileiras de manufatura, tecnologia, saúde e educação que expõem VPNs sem MFA (Cisco, SonicWall, Fortinet) são alvos potenciais. A exploração agressiva de appliances de backup Veeam torna ambientes com esse produto vulneráveis se os patches CVE-2023-27532 e CVE-2024-40711 não forem aplicados. ## Attack Flow ```mermaid graph TB A["Acesso Inicial VPN sem MFA / CVE Cisco-SonicWall Veeam CVE-2023-27532 / T1190"] --> B["Reconhecimento AD enumeration via ADFind Domain trust mapping T1482"] B --> C["Escalada de Privilégios NTDS.dit via VMDK copy T1068 + T1003.003 - admin de domínio"] C --> D["Desabilitar Defesas BYOVD kernel driver T1562.001 - matar EDR/AV"] D --> E["Exfiltração WinSCP / RClone / FileZilla T1537 - dados em cloud em 2h"] E --> F["Dupla Extorsão Encrypt Windows + ESXi/Nutanix T1486 + T1490 - shadow copies"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#196f3d,color:#fff ``` ## Linha do Tempo ```mermaid timeline title Akira Ransomware Group - Cronologia 2023-03 : Primeiras vítimas documentadas : Foco inicial em Windows 2023-04 : Variante Linux para VMware ESXi : Expansão para infraestrutura virtual 2024-01 : 250+ organizações impactadas : US$ 42 milhões em resgates 2024-04 : CISA/FBI/Europol - Advisory AA24-109A : Alerta conjunto internacional 2024-06 : Megazord (Windows Rust) + Akira_v2 (ESXi) : Dois encriptores simultâneos no mesmo ataque 2025-06 : Nutanix AHV - novo hypervisor alvo : CVE-2024-40766 SonicWall explorado 2025-09 : US$ 244 milhões extorquidos acumulados 2025-11 : CISA advisory atualizado : Classificado como ameaça iminente à infraestrutura ``` ## Arsenal e Ferramentas Observadas | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[g1024-akira\|Akira Ransomware]] (C++) | Encriptador Windows | Payload principal Windows; extensão `.akira` ou `.powerranges` | | Akira_v2 (Rust) | Encriptador ESXi | Variante Linux/VMware ESXi - mais rápida e evasiva | | Megazord (Rust) | Encriptador Windows | Variante mais recente - multi-threading e seleção de arquivos | | [[mimikatz\|Mimikatz]] / LaZagne | Credential Dump | Extração de credenciais de memória e cofres | | AnyDesk / LogMeIn | Remote Access | Ferramentas legítimas para movimentação lateral furtiva | | WinSCP / RClone / FileZilla | Exfiltração | Transferência de dados para staging externo pré-cifragem | | Ngrok / Cloudflare Tunnel | Tunneling | C2 cifrado que contorna monitoramento de perímetro | | BYOVD (drivers vulneráveis) | Defense Evasion | Desabilitar EDR via driver assinado com vulnerabilidade | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | VPNs Cisco/SonicWall, Veeam Backup (CVE-2023-27532, CVE-2024-40766) | | Initial Access | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais VPN obtidas via brute-force ou IABs | | Initial Access | External Remote Services | [[t1133-external-remote-services\|T1133]] | Acesso via VPN e SSH comprometidos | | Privilege Escalation | Exploitation | [[t1068-exploitation-privilege-escalation\|T1068]] | CVE-2023-27532 Veeam para acesso a NTDS.dit via VMDK | | Defense Evasion | Disable Security Tools | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | BYOVD e kernel drivers para matar EDR | | Credential Access | NTDS | [[t1003-003-ntds\|T1003.003]] | Cópia de VMDK de domain controller para extrair NTDS.dit | | C2 | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Ngrok para C2 cifrado que ignora monitoramento de perímetro | | Exfiltration | Transfer to Cloud | [[t1537-transfer-data-to-cloud-account\|T1537]] | RClone/FileZilla para exfiltração para cloud antes da cifragem | | Impact | Data Encrypted | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem ChaCha20+RSA de sistemas Windows, ESXi e Nutanix | | Impact | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies via PowerShell no encriptador | ## Setores Impactados Com base no advisory FBI/CISA de novembro de 2025, os setores mais afetados pelo Akira são: - **Manufacturing** - fabricantes industriais de médio porte - **Education** - universidades e instituições de pesquisa (especialmente IITs e equivalentes) - **Technology** - empresas de TI e provedores de serviços gerenciados - **Healthcare** - hospitais e operadoras de saúde - **Financial Services** - fintechs e empresas de serviços financeiros - **Agriculture** - cadeia agroalimentar e cooperativas O foco primário são **PMEs** (pequenas e médias empresas) mas o grupo também ataca grandes organizações. ## Detecção e Defesa > [!tip] Indicadores de Detecção > - Login VPN de IP incomum ou fora do horário habitual usando conta válida sem MFA > - Criação de conta local adicionada ao grupo Administrators - indicador imediato de comprometimento > - Acesso ao arquivo `NTDS.dit` ou cópia de VMDK de domain controller via SMB > - Ngrok.exe ou equivalente em execução em servidores de produção > - Volume shadow copies sendo deletados via PowerShell (`vssadmin.exe delete shadows /all /quiet`) > - WinSCP ou RClone transferindo volumes anômalos de dados para IPs externos antes do horário de cifragem > [!info] Mitigações Recomendadas > - Implementar MFA em TODAS as VPNs - Akira tem foco específico em VPNs sem MFA (Cisco ASA, SonicWall) > - Aplicar patches imediatamente: CVE-2023-27532, CVE-2024-40711 (Veeam) e CVE-2024-40766 (SonicWall) > - Manter backups offline testados - backups online/cloud são alvo direto de exfiltração e cifragem > - Segmentar ambientes de virtualização (ESXi, Hyper-V, Nutanix) de redes corporativas gerais > - Monitorar e alertar para uso de AnyDesk, LogMeIn, RClone e WinSCP em servidores de produção ## Referências - [1](https://www.ic3.gov/CSA/2025/251113.pdf) FBI/CISA/Europol - StopRansomware: Akira Ransomware Advisory AA24-109A Updated (2025) - [2](https://www.ic3.gov/Media/News/2024/240418.pdf) FBI/CISA/Europol/NCSC-NL - StopRansomware: Akira Ransomware (2024) - [3](https://www.picussecurity.com/resource/blog/akira-ransomware-analysis-simulation-and-mitigation-cisa-alert-aa24-109a) Picus Security - Akira Ransomware Analysis 2025 (2025) - [4](https://www.extrahop.com/blog/akira-ransomware-s-shift-to-target-critical-infrastructure-and-linux) ExtraHop - Akira Ransomware Shift to Critical Infrastructure and Linux (2025) - [5](https://cyberpress.org/akira-ransomware-cisa-report/) CyberPress - CISA Report: Akira Ransomware Hit 250+ Orgs (2025) **Malware:** [[g1024-akira|Akira Ransomware]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1003-003-ntds|T1003.003]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1562-001-disable-or-modify-tools|T1562.001]] **Setores alvo:** [[manufacturing|Manufatura]] · [[education|Educação]] · [[technology|Tecnologia]] · [[healthcare|Saúde]] **CVEs explorados:** [[cve-2023-20269|CVE-2023-20269]] · [[cve-2023-27532|CVE-2023-27532]] · [[cve-2024-40766|CVE-2024-40766]] **Relacionados:** [[g0114-fin12|FIN12/Wizard Spider]] · [[royal-blacksuit-group|Royal/BlackSuit]] · [[lockbit|LockBit]]