s1129-akira - RunkIntel

# Akira > Ransomware-as-a-Service em C++ surgido em marco de 2023, vinculado financeiramente a ex-afiliados do Conti via análise de blockchain. Explora VPNs Cisco sem MFA como principal vetor de acesso inicial. Variante ESXi em Rust ("Megazord") para virtualizacao. CISA emitiu advisory conjunto em 2024. Extorsao total estimada em USD 244 milhões até 2025. ## Visão Geral **Akira** e um ransomware-as-a-service (RaaS) escrito em C++ que surgiu em marco de 2023. Em menos de um ano, se tornou um dos grupos mais prolıficos do ecossistema de ransomware, reivindicando mais de 250 vitimas nos primeiros meses de operação. A análise de blockchain da Arctic Wolf revelou que o grupo enviou **mais de USD 600 mil em pagamentos completos de resgaté para carteiras associadas ao [[conti|Conti]]** desde marco de 2023, confirmando a conexão organizacional com ex-afiliados do grupo russo. | Campo | Detalhe | |-------|---------| | MITRE ID | S1129 | | Linguagem | C++ (Windows) - Rust (ESXi/Linux) | | Plataformas | Windows, Linux, VMware ESXi | | Ativo | Marco 2023 - presente | | Vitimas | 250+ nos primeiros meses; 63+ infraestrutura critica | | Extorsao | USD 244M total até 2025 | | Conexão Conti | USD 600K+ enviados a carteiras Conti | ## Como Funciona ### Acesso Inicial - VPN Cisco sem MFA O principal vetor documentado do Akira e a **exploração de VPNs Cisco sem autenticação multifator**: | CVE | Produto | Descrição | |-----|---------|-----------| | [[cve-2023-20269\|CVE-2023-20269]] | Cisco ASA - FTD | Autenticação bypass em SSL VPN | | [[cve-2020-3259\|CVE-2020-3259]] | Cisco ASA | Memory disclosure | | [[cve-2023-27532\|CVE-2023-27532]] | Veeam Backup | RCE sem autenticação | | [[cve-2024-40711\|CVE-2024-40711]] | Veeam Backup | RCE critico | | [[cve-2024-40766\|CVE-2024-40766]] | SonicWall SonicOS | Controle de acesso | ### Criptografia Técnica **Variante Windows (C++):** - ChaCha20 para criptografia de dados + RSA-4096 para chaves - Keys geradas via `CryptGenRandom` (Windows CryptoAPI) - Chaves RSA-4096 appendadas a cada arquivo criptografado - Extensao `.akira` nos arquivos **Variante Linux/ESXi (C++, abril 2023):** - Biblioteca Crypto++ substituindo CryptoAPI do Windows - **Chaves geradas de timestamps de nanosegundos** (Yarrow256 PRNG + 1.500 rounds SHA-256) - Vulnerabilidade: chaves derivadas de timestamps sao brute-forceaveis via GPU - Alvos: VMware ESXi e Nutanix AHV **Megazord (Rust, agosto 2023):** - Reescrita em Rust para Windows e ESXi - Extensao `.powerrangers` - Deployado em ataques dual-architecture junto com o payload C++ ### Discovery Pre-Cifragem O Akira realiza discovery extensivo antes de iniciar a criptografia: ``` Get-ChildItem + GetFileAttributesW -> File discovery net view / net share -> Network share enumeration tasklist / Get-Process -> Process discovery systeminfo / WMI -> System information ntdsutil / Invoke-Mimikatz -> NTDS.dit dump para domain creds ``` ### Impair Defenses ``` Set-MpPreference -DisableRealtimeMonitoring $true -> Desativa Windows Defender netsh advfirewall firewall add rule ... -> Adiciona regras RDP ``` ## Attack Flow ```mermaid graph TB A["🎯 VPN Cisco sem MFA CVE-2023-20269 Brute force SSH - VPN"] --> B["🔍 Discovery Extensivo File - process - network shares Dump NTDS.dit T1003.003"] B --> C["🛡️ Impair Defenses Desativa Windows Defender T1562 Adiciona regras firewall RDP"] C --> D["💥 Lateral Movement Credenciais AD comprometidas PsExec - RDP - WMI"] D --> E["📤 Exfiltração de Dados Dupla extorsao Site de leak Tor"] E --> F["💀 Cifragem Akira ChaCha20 + RSA-4096 Delete shadows T1490"] classDef delivery fill:#c0392b,color:#fff classDef recon fill:#27ae60,color:#fff classDef evade fill:#f39c12,color:#fff classDef lateral fill:#3498db,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B recon class C evade class D lateral class E exfil class F impact ``` ## Timeline ```mermaid timeline title Akira - Evolução 2023-2025 2023-03 : Akira Windows identificado : 250+ vitimas nos primeiros meses 2023-04 : Variante Linux-ESXi lancada : Alvos VMware ESXi e Nutanix 2023-08 : Megazord (Rust) identificado : Extensao .powerrangers 2024-04 : CISA advisory AA24-109A : USD 42M extorquidos em 2024 2025-11 : CISA atualiza advisory : USD 244M total extorquido : Variantes ESXi em Rust evoluindo ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | CVEs VPN Cisco - Veeam - SonicWall | | File Discovery | [[t1083-file-and-directory-discovery\|T1083]] | GetFileAttributesW para targets | | System Info Discovery | [[t1082-system-information-discovery\|T1082]] | systeminfo via WMI | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts de discovery e defenses impair | | WMI | [[t1047-windows-management-instrumentation\|T1047]] | Execução remota e discovery | | Network Share Discovery | [[t1135-network-share-discovery\|T1135]] | Identificação de shares para criptografia | | Native API | [[t1106-native-api\|T1106]] | Chamadas diretas a Windows API | | NTDS Dump | [[t1003-003-ntds\|T1003.003]] | Extração de credenciais do Domain Controller | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Delete shadow copies | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | ChaCha20 + RSA-4096 | | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Desativa Windows Defender | | Process Discovery | [[t1057-process-discovery\|T1057]] | Enumeracao de processos pre-cifragem | ## Relevância LATAM O CERT.br e empresas brasileiras de resposta a incidentes documentaram comprometimentos atribuidos ao grupo Akira nos setores de [[manufacturing|Manufatura]], [[healthcare|Saúde]] e [[education|Educação]] no Brasil. O **advisory conjunto CISA/FBI/Europol de 2024** alertou específicamente o Akira como ameaça global ativa em mais de 40 paises, incluindo paises da América Latina. Organizacoes brasileiras que utilizam **VPN Cisco ASA sem patch do CVE-2023-20269** foram alvos confirmados. O Akira e particularmente perigoso para: - **PMEs** - 80% das vitimas sao pequenas e medias empresas - **Ambientes com VPN Cisco** - principal vetor documentado - **Ambientes VMware ESXi** - variante Rust dedicada - **Backups Veeam expostos** - CVEs especıficos de Veeam explorados **Descryptavel (parcialmente):** Pesquisadores descobriram em 2025 que a variante Linux/ESXi pode ter chaves brute-forceaveis via GPU, dada a geracao baseada em nanosegundos de timestamp. Em alguns casos, recuperacao sem pagamento e possível com recursos computacionais adequados. ## Detecção e Defesa **Alertas criticos (Sysmon):** - Event ID 1: `vssadmin.exe delete shadows` ou `wbadmin delete catalog` - Event ID 11: criação masiva de arquivos `.akira` em múltiplos diretorios - Event ID 25: modificacao de imagem de processo (tampering de processos) **EDR hunt:** - `net view` + `net share` em sequencia rapida por hosts nao-servidores - `Set-MpPreference -DisableRealtimeMonitoring` em linha de comando - ntdsutil ou Invoke-Mimikatz sem justificativa operacional **Mitigacoes prioritarias:** - **MFA obrigatorio em VPN Cisco ASA** - mitiga o principal vetor documentado - Patch imediato CVE-2023-20269 em appliances Cisco - Patch CVE-2023-27532 e CVE-2024-40711 em Veeam Backup - Backup 3-2-1 com copia offline inacessivel via rede - Segmentacao de rede para limitar alcance lateral **Sigma:** - `ransomware_shadowcopy_deletion.yml` - `proc_creation_win_wmi_susp_powershell_execution.yml` - `win_susp_akira_extensions.yml` ## Referências - [1](https://attack.mitre.org/software/S1129/) MITRE ATT&CK - S1129 Akira - [2](https://www.picussecurity.com/resource/blog/akira-ransomware-analysis-simulation-and-mitigation-cisa-alert-aa24-109a) Picus Security - CISA Alert AA24-109A Análise - [3](https://arcticwolf.com/resources/blog/conti-and-akira-chained-together/) Arctic Wolf - Conti and Akira Chained Together - [4](https://www.ic3.gov/CSA/2025/251113.pdf) FBI IC3 - CISA Advisory Atualizado 2025 - [5](https://falconfeeds.io/blogs/akira-ransomware-strategic-operational-threat-analysis-2023-2026) Falcon Feeds - Akira Strategic Analysis 2023-2026 - [6](https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/) TinyHack - Descriptografia ESXi via GPU --- **Ver também:** [[conti]] - [[blackcat]] - [[akira-group]] - [[cve-2023-20269|CVE-2023-20269]] - [[government|Governo]] - [[healthcare|Saúde]] - [[manufacturing|Manufatura]] - [[_malware]]