# Akira Ransomware > Tipo: **ransomware RaaS** - Ativo desde 2023 - [CISA Advisory AA24-109A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a) > [!danger] Ameaça Ativa com Foco em VMware ESXi e VPNs > O Akira e um dos grupos de ransomware mais ativos de 2024-2025, com mais de US$244 milhões extorquidos e alvos em pelo menos 250 organizacoes globais. O grupo explora específicamente VPNs Cisco sem MFA e vulnerabilidades em Veeam Backup e SonicWall para acesso inicial. ## Visão Geral [[akira-ransomware|Akira]] e um ransomware-as-a-service que surgiu em marco de 2023, operado pelo grupo rastreado pela Microsoft como **Storm-1567**. O grupo combina versoes para Windows (escrita em C++) e Linux/VMware ESXi (variante chamada **Megazord**, reescrita em Rust em 2024), demonstrando evolução técnica rapida. O Akira tem estilo visual distinto: o site de vazamento usa estetica retro de terminal ASCII em verde. O Akira e técnicamente sofisticado em seu vetor de acesso inicial: o grupo explorou extensivamente o **CVE-2023-27532** (Veeam Backup & Replication) e VPNs Cisco ASA/FTD sem autenticação multi-fator. As recomendações do FBI/CISA de abril de 2024 documentam mais de **250 vitimas** em setores de manufatura, educação, finanças e saúde, com extorsao total superior a **US$244 milhões** até o inicio de 2025. Uma companhia aerea latino-americana foi confirmada como vitima em 2024, tornando o Akira um risco documentado para infraestrutura critica de transporte na LATAM. **Plataformas:** Windows, Linux, VMware ESXi ## Como Funciona A cadeia de ataque do Akira combina exploração técnica com reconhecimento manual: 1. **Acesso inicial via VPN sem MFA:** Principalmente exploração de VPNs Cisco ASA/FTD ([[t1133-external-remote-services|T1133]]) ou CVE-2023-27532 em Veeam ([[t1190-exploit-public-facing-application|T1190]]). Credenciais válidas compradas em foros underground ([[t1078-valid-accounts|T1078]]) 2. **Exfiltração de credenciais:** Dump de LSASS com ferramentas como Mimikatz ([[t1003-001-lsass-memory|T1003.001]]) para obtencao de credenciais de dominio 3. **Movimento lateral via SSH:** Uso de SSH ([[t1021-004-ssh|T1021.004]]) para movimentação lateral em ambientes Linux/VMware 4. **Transferencia de ferramentas:** Deploy de ferramentas adicionais via [[t1570-lateral-tool-transfer|T1570]], incluindo [[s0154-cobalt-strike|Cobalt Strike]], FileZilla e AnyDesk 5. **Exfiltração pre-ransom:** WinSCP, FileZilla ou Rclone para exfiltrar dados ([[t1048-exfiltration-over-alternative-protocol|T1048]]) 6. **Criptografia dupla:** Payload Windows (C++/Rust) ou Megazord (ESXi) - deleta shadow copies ([[t1490-inhibit-system-recovery|T1490]]) e criptografa com AES-256-CBC + RSA-4096 ```mermaid graph TB A["VPN Cisco sem MFA<br/>CVE-2023-27532 Veeam<br/>T1133 + T1190"] --> B["Reconhecimento inicial<br/>Mapeamento de AD<br/>Identificação de ESXi/backups"] B --> C["Dump de credenciais<br/>LSASS Memory T1003.001<br/>Domain admin obtido"] C --> D["Movimento lateral<br/>SSH T1021.004<br/>Cobalt Strike deploy"] D --> E["Ferramentas de exfiltração<br/>WinSCP / FileZilla / Rclone<br/>T1048 - dados copiados"] E --> F["Payload Akira<br/>Windows C++ / Megazord ESXi<br/>AES-256-CBC + RSA-4096"] F --> G["Shadow copies deletadas<br/>T1490 - recuperacao bloqueada<br/>Nota ransom - site ASCII"] classDef access fill:#e74c3c,color:#fff classDef recon fill:#27ae60,color:#fff classDef cred fill:#e67e22,color:#fff classDef lateral fill:#2980b9,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef impact fill:#1a252f,color:#fff class A access class B recon class C cred class D lateral class E exfil class F encrypt class G impact ``` ## Timeline ```mermaid timeline title Akira Ransomware - Evolução Mar 2023 : Primeiras vitimas Akira detectadas Mai 2023 : Variante Linux/VMware ESXi confirmada 2023 : Exploração CVE-2023-27532 Veeam : 63 vitimas confirmadas em 6 meses 2024 : Reescrita Megazord em Rust para ESXi : Advisory FBI/CISA AA24-109A - 250 vitimas : US$244M+ extorquidos : Companhia aerea LATAM atacada 2025 : Continua ativo - novos CVEs Cisco explorados ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploit CVE-2023-27532 Veeam / SonicWall | | Initial Access | [[t1133-external-remote-services\|T1133]] | VPN Cisco sem MFA | | Initial Access | [[t1078-valid-accounts\|T1078]] | Valid Accounts | | Credential Access | [[t1003-001-lsass-memory\|T1003.001]] | LSASS Memory Dump | | Lateral Movement | [[t1021-004-ssh\|T1021.004]] | SSH | | Lateral Movement | [[t1570-lateral-tool-transfer\|T1570]] | Lateral Tool Transfer | | Exfiltration | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | WinSCP / FileZilla / Rclone | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256-CBC + RSA-4096 | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deletar Shadow Copies | ## Relevância LATAM/Brasil O [[akira-ransomware|Akira]] tem presenca documentada na América Latina, com uma companhia aerea regional confirmada como vitima em 2024. O vetor primario - VPNs Cisco sem MFA - e extremamente relevante para o contexto brasileiro, onde VPNs corporativas frequentemente carecem de autenticação de segundo fator por questoes de usabilidade ou custo. O CVE-2023-27532 em **Veeam Backup & Replication** e particularmente preocupante: solucos de backup Veeam sao amplamente utilizadas em empresas brasileiras de medio e grande porte. Uma instancia exposta sem patch e suficiente para comprometer toda a infraestrutura de backup, eliminando a opcao de recuperacao sem pagamento de ransom. O setor de **aviacao** confirmado como alvo e critico: a cadeia logistica de cargas aereas e passageiros tem pouca tolerancia a tempo de inatividade, aumentando a probabilidade de pagamento de resgaté. **Setores impactados:** [[transportation|transporte]] - [[financial|financeiro]] - [[education|educação]] - [[healthcare|saúde]] ## Detecção - Auditar todas as VPNs Cisco ASA/FTD - verificar se MFA esta habilitado; patches CVE-2024-20353 e CVE-2024-20359 aplicados - Verificar Veeam Backup & Replication: patch CVE-2023-27532 (versao 12.0.0.1420 ou superior) - Monitorar processo LSASS por acessos de processos nao-esperados - Detectar uso de WinSCP, FileZilla ou Rclone em servidores que nao sao administrados por TI ```sigma title: Akira Ransomware Backup Tool Exfiltration status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\WinSCP.exe' - '\filezilla.exe' - '\rclone.exe' ParentImage|contains: - '\cmd.exe' - '\powershell.exe' condition: selection level: high tags: - attack.exfiltration - attack.t1048 - code/distill ``` ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a) CISA/FBI - Advisory AA24-109A Akira Ransomware (2024) - [2](https://www.trendmicro.com/en_us/research/23/g/akira-ransomware-expands-its-reach-with-linux-variant.html) Trend Micro - Akira Expands with Linux Variant (2023) - [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) CISA KEV - CVE-2023-27532 Veeam Backup (2023) - [4](https://attack.mitre.org/groups/G1040) MITRE ATT&CK - Storm-1567 Group Profile (2024) - [5](https://thedfirreport.com/2023/09/25/from-screenconnect-to-hive-ransomware-in-61-hours/) DFIR Report - Akira Ransomware Intrusion Analysis (2023)