g1024-akira - RunkIntel

# Akira > [!danger] Akira Ransomware - Top 5 FBI, $244M em Resgates (2025) > Akira e um grupo de ransomware-as-a-service (RaaS) ativo desde marco 2023, classificado pelo FBI como um dos **cinco grupos de ransomware mais consequentes** que investigam. Com possíveis conexoes ao grupo Conti desativado, o Akira acumulou mais de **$244 milhões em pagamentos de resgaté** até setembro de 2025, comprometendo mais de 342 organizacoes globalmente. O grupo e conhecido por **dupla extorsao** (exfiltração antes de criptografia), exploração agressiva de vulnerabilidades VPN (Cisco, SonicWall) e capacidade de criptografar simultaneamente Windows, Linux/VMware ESXi e Nutanix AHV. ## Visão Geral **Akira** (rastreado como GOLD SAHARA, PUNK SPIDER, Howling Scorpius e Storm-1567) emerge em marco de 2023 com sobreposicoes técnicas significativas com o Conti - incluindo estilo de código, uso de ferramentas e perfil de afiliados. O grupo opera como RaaS sofisticado, recrutando afiliados especializados em comprometimento inicial enquanto fornece o encryptor e a infraestrutura de negociacao. **Metricas operacionais (dados CISA/FBI - Nov 2025):** - **$244 milhões** em pagamentos de resgaté acumulados até setembro 2025 - **342+ organizacoes** comprometidas globalmente - **Top 5** grupos ransomware investigados pelo FBI - **2 horas**: tempo mínimo documentado entre acesso inicial e inicio de exfiltração - Afiliados ativos explorando vulnerabilidades dentro de dias de divulgacao pública **Caracteristicas técnicas distintivas:** - Dupla plataforma: Windows (C++) e Linux/ESXi (Rust-based Megazord) - Dois encryptors simultaneos: Akira_v2 (ESXi) + Megazord (Windows) no mesmo incidente - Expansao para Nutanix AHV em 2025 - alem de VMware e Hyper-V - Modelo de negociacao sem nota de resgaté inicial - vitima contata grupo via Tor ```mermaid graph TB A["Acesso Inicial VPN sem MFA - CVE Cisco/SonicWall T1133 + T1190 + T1566.002"] --> B["Persistência Nova conta itadm T1078 + T1136.002"] B --> C["Reconhecimento AdFind domain enum T1018 + T1482"] C --> D["Escalacao / Credenciais Mimikatz, LaZagne, Kerberos T1558 + T1003"] D --> E["Desativacao de Defesas AV/EDR via PowerTool T1562.001"] E --> F["Exfiltração Rclone para cloud storage T1567.002 - menos de 2h"] F --> G["Criptografia Dual Megazord Windows Akira_v2 ESXi - T1486"] style A fill:#922b21,color:#fff style B fill:#1a5276,color:#fff style C fill:#2980b9,color:#fff style D fill:#8e44ad,color:#fff style E fill:#d35400,color:#fff style F fill:#196f3d,color:#fff style G fill:#7b241c,color:#fff ``` ## Campanhas Recentes (2023-2026) ### Exploração de SonicWall - CVE-2024-40766 (Jul-Ago 2025) Campanha intensa de julho a agosto de 2025 explorando **CVE-2024-40766** (SonicWall SSL VPN, CVSS 9.3): - Inicio de exploração poucos dias após públicacao do CVE - ~40 vitimas documentadas somente nesta jánela - Foco em empresas de manufatura e financeiro com VPNs SonicWall - Vetor: acesso via SonicWall sem MFA configurado ### Expansao para Nutanix AHV (2025) Novo encryptor identificado capaz de criptografar **discos de VMs Nutanix AHV** - expandindo alvos alem de VMware ESXi e Hyper-V. Critica para organizacoes que migraram para Nutanix acreditando estar fora do perfil de alvo. ### Campanhas Iniciais 2023 - Exploração Cisco VPN Primeiras campanhas usando **CVE-2020-3259** e **CVE-2023-20269** em Cisco ASA/FTD para acesso inicial sem autenticação multifator: - 250+ organizacoes comprometidas até janeiro 2024 - $42 milhões em resgates no período ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | Akira/[[s1194-akira-v2\|Akira_v2]] | Encryptor ESXi | Criptografia de VMs VMware ESXi - extensao .akira | | [[s1191-megazord\|Megazord]] | Encryptor Windows | Rust-based - extensao .powerranges | | [[mimikatz\|Mimikatz]] | Credential dumper | Extração de credenciais LSASS e tickets Kerberos | | [[s0349-lazagne\|LaZagne]] | Password stealer | Coleta de senhas armazenadas em browsers e aplicativos | | [[s1040-rclone\|Rclone]] | Exfiltração | Upload de dados para cloud storage antes da criptografia | | [[s0552-adfind\|AdFind]] | Reconhecimento | Enumeracao de objetos Active Directory | | [[psexec\|PsExec]] | Movimento lateral | Execução remota em hosts comprometidos | | PowerTool | Defense evasion | Exploits driver Zemana AntiMalware para terminar AV | | AnyDesk/LogMeIn | Acesso remoto | Manutenção de persistência pos-comprometimento | | WinRAR/FileZilla | Staging/exfiltração | Compressao e transferencia de dados antes do resgaté | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------|| | Initial Access | Exploit Public App | [[t1190-exploit-public-facing-application\|T1190]] | CVEs Cisco/SonicWall para acesso via VPN | | Initial Access | External Remote | [[t1133-external-remote-services\|T1133]] | VPN/RDP sem MFA como ponto de entrada | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Criação de conta 'itadm' ou outras contas admin | | Defense Evasion | Disable Tools | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | PowerTool para desativar processos AV/EDR | | Credential Access | Kerberos | [[t1558-steal-or-forge-kerberos-tickets\|T1558]] | Roubo de tickets Kerberos para movimento lateral | | Lateral Movement | RDP | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP com credenciais roubadas | | Exfiltration | Cloud Storage | [[t1567-002-exfiltration-cloud-storage\|T1567.002]] | Rclone enviando dados para cloud em menos de 2h | | Impact | Encrypt Data | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia dual Windows + ESXi simultanea | | Impact | Financial Theft | [[t1657-financial-theft\|T1657]] | Extorsao de resgaté em Bitcoin via canal Tor | ## Timeline ```mermaid timeline title Akira Ransomware - Linha do Tempo 2023-03 : Primeiras atividades documentadas : Windows como plataforma inicial 2023-04 : Linux/VMware ESXi variant lancado 2023-08 : Megazord (Rust) identificado : Akira_v2 ESXi encryptor novo 2024-01 : 250+ organizacoes comprometidas : $42M em resgates 2024-04 : Alerta conjunto CISA/FBI/Europol 2024-08 : Exploração massiva CVE-2024-40766 SonicWall 2025-11 : Atualizado CISA advisory - $244M total : FBI classifica top 5 ransomware 2025 : Expansao para Nutanix AHV : 342+ organizacoes globais ``` ## Relevância para o Brasil e LATAM > [!danger] Risco ALTO - Brasil Listado como Alvo Ativo > O Brasil e explicitamente listado como pais-alvo nas operações do Akira, confirmado em relatorios de 2023-2025. O modelo RaaS do grupo, com afiliados recrutados globalmente, significa que ataques contra empresas brasileiras podem ser conduzidos por afiliados locais ou regionais com melhor conhecimento do ambiente-alvo. Setores em risco prioritario: financeiro, manufatura e saúde. **Alvos brasileiros em risco:** - **Setor financeiro**: 34 organizacoes financeiras globais atacadas entre abr 2024-abr 2025; bancos e fintechs brasileiras com VPNs Cisco/SonicWall sao vulneraveis - **Industria**: empresas de manufatura com ambientes ESXi/VMware sao perfil exato de alvos Akira - **Saúde**: hospitais e operadoras com dados de pacientes e infraestrutura critica - impacto operacional grave - **Educação**: universidades com VPNs de acesso remoto sem MFA robusto **Indicadores de comprometimento:** - Conta `itadm` criada no Active Directory sem justificativa - Processos Rclone executando em horarios incomuns - Desativacao de processos AV/EDR via drivers suspeitos - Acesso VPN de IPs incomuns sem MFA ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Criação de conta admin no DC fora do horario normal | Alertas SIEM para novos usuarios privilegiados | | Rclone executando com parametros de upload | EDR/DLP para ferramentas de sincronizacao cloud | | Driver Zemana AntiMalware instalado inesperadamente | Detecção de drivers nao-autorizados (WDAC) | | Multiplas VMs ESXi criptografadas simultaneamente | Monitoramento de processos de criptografia em massa | | Extensao `.akira` ou `.powerranges` em arquivos | Detecção de ransomware por extensao de arquivo | ## Referências - [1](https://attack.mitre.org/groups/G1024/) MITRE ATT&CK - G1024 Akira (2024) - [2](https://www.ic3.gov/CSA/2025/251113.pdf) FBI/CISA/DC3/HHS - StopRansomware: Akira Advisory Atualizado (Nov 2025) - [3](https://cyberscoop.com/akira-ransomware-fbi-cisa-joint-advisory/) CyberScoop - FBI classifica Akira como Top 5 Ransomware (Nov 2025) - [4](https://industrialcyber.co/cisa/cisa-fbi-europol-and-ncsc-nl-issue-joint-cybersecurity-advisory-on-akira-ransomware-threats/) Industrial Cyber - CISA/FBI/Europol Joint Advisory Akira (Abr 2024) - [5](https://www.netbankaudit.com/resources/akira-ransomware-joint-statement) NetBankAudit - Akira Ransomware Threat to Financial Institutions (Mar 2026) **Atores relacionados:** [[conti|Conti]] · [[blackbasta|Black Basta]] · [[lockbit|LockBit]] **Malware e ferramentas:** [[s1191-megazord|Megazord]] · [[mimikatz|Mimikatz]] · [[s1040-rclone|Rclone]] · [[s0349-lazagne|LaZagne]] **CVEs exploradas:** [[cve-2020-3259|CVE-2020-3259 Cisco ASA]] · [[cve-2023-20269|CVE-2023-20269 Cisco VPN]] · [[cve-2024-40766|CVE-2024-40766 SonicWall]] **TTPs principais:** [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1567-002-exfiltration-to-cloud-storage|T1567.002]] · [[t1562-001-disable-or-modify-tools|T1562.001]] **Setores alvejados:** [[manufacturing|Manufatura]] · [[financial|Financeiro]] · [[healthcare|Saúde]] · [[education|Educação]] · [[technology|Tecnologia]]