akira-ransomware-group

# Akira Ransomware > [!high] RaaS Ativo - Especialista em ESXi e Veeam Backup - $244M Extorquidos > Akira é um ransomware-as-a-service (RaaS) ativo desde março de 2023, desenvolvido em C++ (variante original) e Rust (variante "Megazord/Akira_v2"), que rapidamente se tornou um dos grupos de ransomware mais prolificos do mundo ao extorquir mais de **$244 milhões USD** de centenas de vítimas em América do Norte, Europa e Austrália. O grupo é especialmente agressivo contra ambientes **VMware ESXi**, criptografando infraestruturas virtualizadas inteiras em um único ataque, e tem explorado vulnerabilidades em **Cisco VPN** e **Veeam Backup** como vetores de acesso preferidos. ## Visão Geral O Akira surgiu em março de 2023 como uma nova operação RaaS com branding nostálgico - um site de vazamentos com estética de terminal de computador dos anos 80 e paleta de cores verde. Apesar da apresentação vintage, o grupo demonstrou capacidades técnicas avançadas e uma estratégia de targeting altamente deliberada. Em menos de dois anos de operação, extorquiu mais de **$244 milhões USD** e comprometeu centenas de organizações em múltiplos setores e países. A característica mais marcante do Akira é seu foco agressivo em ambientes virtualizados. O grupo desenvolveu uma variante específica para **VMware ESXi** que permite criptografar todas as máquinas virtuais de um hypervisor comprometido em uma única operação - maximizando o impacto e a pressão sobre a vítima. Essa estratégia transforma um único ponto de acesso em controle total sobre toda a infraestrutura de TI da organização. Ambientes que consolidaram workloads em ESXi sem segmentação adequada e sem backups offline são especialmente vulneráveis. O acesso inicial preferêncial do Akira é via **Cisco VPN sem MFA**: o grupo explorou consistentemente as vulnerabilidades [[cve-2020-3259|CVE-2020-3259]] e [[cve-2023-20269|CVE-2023-20269]] no Cisco ASA/FTD para obter credenciais VPN e penetrar redes corporativas sem deixar rastros evidentes de comprometimento. Além disso, o grupo explorou [[cve-2023-27532|CVE-2023-27532]] e [[cve-2024-40711|CVE-2024-40711]] no Veeam Backup & Replication para comprometer sistemas de backup - eliminando a capacidade de recuperação da vítima antes de criptografar os dados primários. A CISA emitiu o advisory **AA24-109A** em abril de 2024 em conjunto com FBI, Europol e outras agências, confirmando que o Akira já havia comprometido mais de **250 organizações** e extorquido aproximadamente $42 milhões USD apenas no primeiro ano - número que cresceu para $244 milhões até o final de 2025. ## Como Funciona **Acesso inicial preferêncial:** 1. Exploração de CVEs em Cisco ASA/FTD VPN (CVE-2020-3259, CVE-2023-20269) para extrair credenciais 2. Acesso via VPN com credenciais válidas, sem MFA 3. Exploração alternativa: Veeam CVE-2023-27532/CVE-2024-40711, SonicWall CVE-2024-40766, RDP com credenciais bruteforçadas 4. Compra de acesso inicial em fóruns criminosos (Initial Access Brokers) **Reconhecimento e movimento lateral:** 1. Enumeração de AD com ferramentas legítimas: NetScan, Advanced IP Scanner, SharpHound 2. Dump de credenciais via Mimikatz, secretsdump.py ou LSASS dump direto 3. Movimento lateral via RDP, WMI, SMB 4. Desativação de EDR com drivers assinados ou técnicas de bring-your-own-vulnerable-driver (BYOVD) **Exfiltração antes da criptografia:** 1. FileZilla, WinSCP, rclone para transferência de dados 2. Destino: Mega.nz, storage próprio dos operadores 3. Double extortion: dados públicados no site de vazamentos "Akira" se resgate não for pago **Criptografia - variante Windows (C++):** 1. Extensão `.akira` adicionada aos arquivos criptografados 2. **ChaCha20** como cifra simétrica + **RSA** para proteger a chave de sessão 3. Nota de resgate `akira_readme.txt` em múltiplos diretórios 4. VSS deletado, backups destruídos **Criptografia - variante Megazord/Akira_v2 (Rust):** 1. Extensão `.powerranges` ou `.akiranew` (dependendo da variante) 2. Mesmo esquema criptográfico ChaCha20+RSA 3. Variant focada em Linux/ESXi com otimizações para ambientes virtualizados **ESXi targeting:** 1. Acesso ao hypervisor ESXi via credenciais de administrador ou vulnerabilidades 2. Script para desligar todas as VMs em execução: `esxcli vm process kill --type=soft --world-id=` 3. Criptografia dos vmdk de todas as VMs com payload ELF compilado em Rust 4. Resultado: toda a infraestrutura virtualizada fica inacessível simultaneamente ## Attack Flow ```mermaid graph TB A["Acesso VPN Cisco CVE-2020-3259 CVE-2023-20269"] --> B["Credenciais VPN Sem MFA Acesso corporativo"] B --> C["Reconhecimento NetScan SharpHound Mimikatz LSASS dump"] C --> D["Comprometer Veeam CVE-2023-27532 Backups destruidos"] D --> E["Exfiltração FileZilla rclone Mega.nz double extortion"] E --> F["ESXi Targeting Desligar todas VMs Payload Rust ELF"] F --> G["Criptografia ChaCha20 RSA Extensao .akira"] G --> H["Extorsao USD 244M extorquidos 250+ vitimas"] ``` **Legenda:** [[veeam-ransomware-exploitation-2026]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1003-001-lsass-memory|T1003.001]] ## Timeline ```mermaid timeline title Akira Ransomware - Linha do Tempo 2023-03 : Primeiro avistamento : Site vazamentos estilo 80s : Variante C++ Windows 2023-06 : ESXi variante : Linux payload desenvolvido : Expansao para VMware 2023-08 : Veeam explorado : CVE-2023-27532 em uso : Backups como alvo primario 2024-04 : CISA AA24-109A : FBI Europol advisory : 250+ vitimas 42M extorquidos 2024-06 : Megazord Akira_v2 : Variante Rust lancada : Extensao .powerranges 2024-09 : SonicWall explorado : CVE-2024-40766 : Expansao vetores de acesso 2024-11 : Veeam CVE-2024-40711 : Nova vulnerabilidade explorada : RCE sem autenticação 2025 : Operação continua : USD 244M total extorquido : Americas Europa Oceania ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | ChaCha20+RSA, variantes Windows C++ e Linux/ESXi Rust | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Cisco VPN CVE-2020-3259/CVE-2023-20269, Veeam CVE-2023-27532/CVE-2024-40711 | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais VPN extraídas via CVEs Cisco, sem MFA habilitado | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts de reconhecimento, movimento lateral e preparação | | Exfiltration to Cloud Storage | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | rclone + Mega.nz para double extortion antes da criptografia | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Destruição de VSS, comprometimento de Veeam Backup antes do ataque | | OS Credential Dumping: LSASS | [[t1003-001-lsass-memory\|T1003.001]] | Mimikatz, secretsdump.py para dump de credenciais | ## Relevância para o Brasil e LATAM > [!latam] Ameaça Direta ao Brasil > Akira combina exploração de **Cisco VPN** (amplamente adotada no Brasil), **Veeam Backup** (padrão em médias empresas brasileiras) e **VMware ESXi** — infraestrutura consolidada em hospitais, bancos e indústrias nacionais. Double extortion cria exposição dupla sob a **LGPD**. O Akira representa uma ameaça direta e crescente para organizações brasileiras e latino-americanas: **Infraestrutura ESXi no Brasil:** - A maioria das médias e grandes empresas brasileiras usa VMware ESXi para consolidar workloads - hospitais, bancos, indústrias, telecomúnicações - Organizações que migraram para virtualização sem implementar segmentação de rede adequada e backups offline são altamente vulneráveis ao padrão de ataque Akira - O [[technology|setor de tecnologia]], [[financial|financeiro]] e [[healthcare|saúde]] no Brasil concentram a maior exposição a ataques via ESXi **Veeam Backup no Brasil:** - O Veeam é amplamente adotado como solução de backup no Brasil - sua popularidade o torna um alvo prioritário para grupos como o Akira - CVE-2024-40711 (RCE sem autenticação no Veeam) é especialmente crítico porque elimina a última linha de defesa antes da criptografia - Organizações que dependem do Veeam como único mecanismo de backup ficam sem opção de recuperação se o Veeam for comprometido primeiro **Cisco VPN no Brasil:** - Dispositivos Cisco ASA/FTD são amplamente utilizados em empresas brasileiras de médio e grande porte - CVEs de Cisco VPN sem MFA criam um vetor silencioso: acesso via credenciais válidas sem alertas de anomalia - A [[lgpd|LGPD]] impõe notificação obrigatória à [[anpd|ANPD]] em caso de vazamento de dados pessoais - double extortion do Akira cria dupla exposição regulatória **Ataques confirmados em LATAM:** - O advisory CISA AA24-109A não específica países, mas incidentes não públicos indicam vítimas em México, Chile e Brasil em 2024 - O [[financial|setor financeiro]] brasileiro, com alta dependência de infraestrutura virtualizada, está no perfil exato de alvos preferidos pelo Akira ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Akira Ransomware (TLP:GREEN) > **Artefatos no host:** > Arquivo akira_readme.txt em múltiplos diretórios > Extensão .akira, .powerranges ou .akiranew em arquivos criptografados > Processos NetScan.exe ou AdvancedIPScanner.exe em sistemas que não são estações de TI > rclone.exe com configuração de upload para Mega.nz > > **ESXi específico:** > Binário ELF compilado em Rust em armazenamento ESXi > Execução de esxcli com parâmetros kill --type=soft em múltiplas VMs > VMs desligadas em sequência não programada > > **Comportamento de rede:** > Tráfego de exfiltração para mega.nz ou storage externo não autorizado > Conexões de entrada via Cisco VPN de IPs anômalos sem MFA > > **Fonte:** CISA Advisory AA24-109A (2024) · FBI Flash · Secureworks CTU Research **Mitigações recomendadas:** - Implementar [[m1032-multi-factor-authentication|M1032]] em TODOS os acessos remotos: Cisco VPN, RDP, VDI - Aplicar [[m1051-update-software|M1051]] com prioridade para Cisco ASA/FTD e Veeam Backup - patches disponíveis para todos os CVEs explorados - Usar [[m1053-data-backup|M1053]] com backups **offline e imutáveis** - Veeam não é suficiente se estiver na mesma rede - Implementar [[m1030-network-segmentation|M1030]] isolando ESXi hosts em VLAN separada com acesso restrito - Monitorar via [[ds0009-process-creation|DS0009]] execução de rclone.exe, Mimikatz e ferramentas de enumeração de AD ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a) CISA Advisory AA24-109A - #StopRansomware Akira (2024) - [2](https://www.sentinelone.com/labs/akira-ransomware-a-technical-deep-dive/) SentinelOne - Akira Ransomware Technical Deep Dive (2023) - [3](https://www.bleepingcomputer.com/news/security/akira-ransomware-gang-made-42-million-from-250-attacks-in-a-year/) BleepingComputer - Akira $42M from 250 Attacks (2024) - [4](https://www.secureworks.com/research/akira-ransomware) Secureworks - Akira Ransomware Analysis (2024) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.akira) Malpedia - Akira Entry - [6](https://nvd.nist.gov/vuln/detail/CVE-2024-40711) NVD - CVE-2024-40711 Veeam Backup RCE