# Storm-1567 > [!warning] Resumo Executivo > Storm-1567 e a designacao Microsoft para os operadores do **Akira ransomware**, um dos grupos de RaaS mais prolíficos desde 2023. Também rastreado como **Howling Scorpius** (Unit 42), **Punk Spider** (CrowdStrike) e **Gold Sahara**. O FBI/CISA emitiu advisory conjunto em abril 2024, atualizado em novembro 2025, classificando-o como **ameaça iminente a infraestrutura critica**. Desde marco 2023, o grupo acumulou US$244 milhões em pagamentos de ransom, comprometendo mais de 300 organizacoes. Foco em pequenas e medias empresas com exploits de VPN (Cisco, SonicWall, Fortinet) e servidores de backup Veeam. Ativa campanha explorando **CVE-2024-40766 (SonicWall)** em 2025. ## Visão Geral **Storm-1567** opera o Akira como plataforma RaaS - disponibilizando infraestrutura e malware para afiliados em troca de percentual do ransom. Diferente de grupos que focam em mega-empresas (big game hunting puro), o Akira tem **preferência declarada por PMEs** - alvos com menos recursos de defesa mas suficiente capacidade de pagamento. Caracteristicas distintivas: 1. **Exploits de edge devices**: Foco específico em VPNs sem MFA (Cisco ASA, SonicWall, Fortinet) e servidores de backup Veeam 2. **Variantes múltiplas**: Windows (C++), Megazord/Akira_v2 (Rust, extensao .powerranges), Linux/ESXi 3. **Sem nota de ransom na rede**: Nao deixa nota nos sistemas - vitima deve contatar o grupo via TOR com código único 4. **Pagamento Bitcoin**: Enderecos de carteira fornecidos após contato 5. **Conexão Conti**: Pesquisadores identificam possiveis conexoes com o extinto grupo [[conti|Conti]] via sobreposicao de código e TTPs ## Campanha SonicWall 2025 A partir de julho de 2025, Darktrace e outros detectaram surto global de ataques Akira explorando dispositivos SonicWall SSL VPN: 1. **CVE-2024-40766**: Vulnerabilidade de controle de acesso em SonicWall - explorada mais de 1 ano após públicacao original 2. **Método**: Credenciais VPN comprometidas ou exploração direta da vulnerabilidade 3. **Pos-acesso**: Scan de rede interno via Advanced IP Scanner/MASSCAN, lateral movement via RDP 4. **Exfiltração SSH**: Dados exfiltrados via SSH para IP externo (ASN HVC-AS 29802) antes da encriptacao 5. **Encriptacao**: ~2GB exfiltrados em media antes do deploy do ransomware ## Attack Flow ```mermaid graph TB A["🌐 Edge Device Exploit<br/>VPN sem MFA ou<br/>CVE-2024-40766 SonicWall T1190"] --> B["🔑 Credential Access<br/>Brute force / spray<br/>SharpDomainSpray T1110"] B --> C["🔍 Discovery<br/>MASSCAN / Advanced IP Scanner<br/>SharpHound / AdFind T1018"] C --> D["⚡ Privilege Escalation<br/>Kerberoasting<br/>Mimikatz LSASS T1003.001"] D --> E["🔒 Defense Evasion<br/>PowerTool / KillAV<br/>Zemana driver abuse T1562.001"] E --> F["📤 Exfiltration<br/>WinRAR + FileZilla / Rclone<br/>MEGA cloud T1048"] F --> G["💣 Ransomware<br/>Akira .akira extension<br/>VSS deletion T1486/T1490"] style A fill:#7b241c,color:#fff style B fill:#922b21,color:#fff style C fill:#a93226,color:#fff style D fill:#e67e22,color:#fff style E fill:#1a5276,color:#fff style F fill:#6c3483,color:#fff style G fill:#117a65,color:#fff ``` ## Timeline de Atividades ```mermaid timeline title Storm-1567 / Akira - Cronologia Mar 2023 : Akira emergencia : Foco inicial Windows : C++ com extensao .akira Abr 2023 : Variante Linux / ESXi : Expansao para infraestrutura virtual Ago 2023 : Megazord / Akira_v2 : Rust-based : Extensao .powerranges Ján 2024 : 250+ organizacoes comprometidas : US$42M em pagamentos Abr 2024 : FBI/CISA/Europol advisory conjunto : Indicadores e TTPs publicados Out 2024 : Exploração CVE-2024-40711 Veeam : CVSS 9.8 Jul 2025 : Campanha SonicWall CVE-2024-40766 : Surto global documentado : LATAM impactado Nov 2025 : Advisory atualizado FBI/CISA : US$244M em pagamentos acumulados : Declarado ameaça iminente infra critica ``` ## CVEs Exploradas pelo Grupo | CVE | Sistema | CVSS | Status | |-----|---------|------|--------| | [[cve-2024-40766\|CVE-2024-40766]] | SonicWall SonarOS / SSLVPN | Alto | Explorada ativamente 2025 | | [[cve-2024-40711\|CVE-2024-40711]] | Veeam Backup & Replication | 9.8 | Explorada out 2024 | | [[cve-2023-27532\|CVE-2023-27532]] | Veeam Backup & Replication | 7.5 | Explorada 2023-2024 | | [[cve-2020-3259\|CVE-2020-3259]] | Cisco ASA SSL VPN | 7.5 | Historica; ainda relevante | | CVE-2023-20269 | Cisco ASA/FTD | Critico | Explorada por afiliados | ## Arsenal | Ferramenta | Uso | |-----------|-----| | [[akira-ransomware\|Akira]] | Ransomware Windows (C++); extensao .akira | | [[akira-megazord\|Megazord/Akira_v2]] | Rust; extensao .powerranges; mais rapido | | [[mimikatz\|Mimikatz]] | Credential dumping LSASS | | LaZagne | Credential harvesting de aplicações | | PCHunter | System info / process enumeration | | SharpHound | Active Directory enumeration | | AdFind | AD queries e recon | | PowerTool / KillAV | EDR disable via Zemana driver | | [[s0154-cobalt-strike\|Cobalt Strike]] | Post-exploitation e lateral movement | | [[s0533-systembc\|SystemBC]] | C2 RAT proxy / tunneling | | AnyDesk / LogMeIn | Acesso remoto persistente legitimo | | Ngrok / Cloudflare Tunnel | C2 tunneling para evadir perimeter | | WinRAR / FileZilla / WinSCP | Exfiltração de dados | | Rclone | Exfiltração para MEGA cloud | ## Relevância para o Brasil e LATAM Storm-1567/Akira tem **presenca confirmada no Brasil e LATAM**: 1. **Campanha LATAM documentada**: Advisory da CISA de novembro 2025 confirma atividade na América Latina como regiao afetada 2. **Foco em PMEs**: Empresas brasileiras de medio porte com VPNs SonicWall e Cisco sem MFA sao alvos ideais para o perfil do grupo 3. **SonicWall prevalente no Brasil**: O equipamento e muito comum em PMEs brasileiras - CVE-2024-40766 e uma vulnerabilidade de alto risco imediato para o mercado nacional 4. **Veeam widespread**: Software de backup Veeam e amplamente usado em data centers brasileiros - CVE-2024-40711 representa risco direto 5. **Setor saúde e manufatura**: Hospitais e industrias brasileiras estao nos setores preferidos do grupo 6. **US$244M e crescendo**: O volume financeiro demonstra capacidade de operação sustentada com recursos para expandir > [!danger] Alerta Imediato > Se sua organização usa **SonicWall SonarOS/SSLVPN** - aplique patches para CVE-2024-40766 imediatamente. Se usa **Veeam Backup & Replication** - aplique patches para CVE-2024-40711 e CVE-2023-27532 imediatamente. ## Detecção | Indicador / Comportamento | Técnica | |---------------------------|---------| | Conexão SSH a IP externo em ASN HVC-AS (29802) | T1048 | | Advanced IP Scanner ou MASSCAN executados internamente | T1018 | | SharpDomainSpray executado para password spraying | T1110.003 | | PowerTool ou KillAV terminando processos de segurança | T1562.001 | | Arquivo `fn.txt` criado em C:\ ou C:\Users\ (ransom note Akira) | T1486 | | VSS deletado via PowerShell/WMIC | T1490 | | AnyDesk ou LogMeIn instalado após comprometimento | T1219 | | Rclone exfiltrando para MEGA cloud | T1048 | | Extensao .akira ou .powerranges em arquivos encriptados | T1486 | ## Referências - [1](https://www.ic3.gov/CSA/2025/251113.pdf) FBI/CISA - StopRansomware: Akira Atualizado Nov 2025 - [2](https://www.aha.org/cybersecurity-government-intelligence-reports/2024-04-18-joint-cybersecurity-advisory-stopransomware-akira-ransomware) AHA - Advisory Conjunto Akira Abril 2024 - [3](https://www.darktrace.com/blog/inside-akiras-sonicwall-campaign-darktraces-detection-and-response) Darktrace - Campanha SonicWall Akira (2025) - [4](https://www.police.gov.sg/media-hub/news/2024/20240607_joint_advisory_on_akira_ransomware) Singapore Police Force / CSA - Advisory Akira com TTPs MITRE - [5](https://industrialcyber.co/cisa/akira-ransomwares-evolving-tactics-prompt-global-agencies-to-strengthen-critical-infrastructure-guidance/) Industrial Cyber - Akira Evolução e Advisory Global (2025)