s1191-megazord - RunkIntel

# Megazord > Tipo: **malware** · S1191 · [MITRE ATT&CK](https://attack.mitre.org/software/S1191) ## Descrição [[s1191-megazord|Megazord]] é uma variante do ransomware [[g1024-akira|Akira]] desenvolvida em Rust, em uso desde pelo menos agosto de 2023, visando ambientes Windows. O [[s1191-megazord|Megazord]] é parte do arsenal dual do grupo Akira - que mantém variantes para Windows (Megazord/Akira) e Linux (variante ESXi) - demonstrando capacidade de atacar toda a infraestrutura de uma organização. A atribuição ao grupo [[g1024-akira|Akira]] é baseada em sobreposição de infraestrutura de C2 e TTPs consistentes com outras operações do grupo. O Megazord executa via shell Windows ([[t1059-003-windows-command-shell|T1059.003]]), para serviços antes da criptografia ([[t1489-service-stop|T1489]]) e enumera logs do sistema ([[t1654-log-enumeration|T1654]]) para reconhecimento antes de iniciar a criptografia de dados ([[t1486-data-encrypted-for-impact|T1486]]). A descoberta de processos ([[t1057-process-discovery|T1057]]) e arquivos/diretórios ([[t1083-file-and-directory-discovery|T1083]]) mapeia o ambiente para maximizar o impacto da criptografia. A implementação em Rust oferece vantagens de performance e reduz o footprint de detecção em relação a implementações em linguagens mais comuns como C++. O grupo [[g1024-akira|Akira]] emergiu em 2023 e rapidamente se tornou uma das operações RaaS mais ativas, com vítimas em múltiplos setores e países, incluindo organizações na América Latina. O CISA emitiu alertas sobre o Akira/Megazord em 2024. A combinação de variante Windows (Megazord) e Linux (ESXi) permite ao grupo comprometer toda a infraestrutura de virtualização de uma organização em um único ataque. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1654-log-enumeration|T1654 - Log Enumeration]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g1024-akira|Akira]] ## Detecção - **[[ds-0022-file|File Creation]]** - Monitorar criação de arquivos com extensão `.powerranges` (extensão usada pelo Megazord) em múltiplos diretórios simultaneamente - indicador de criptografia Megazord em andamento. - **[[ds-0009-process|Process Creation]]** - Detectar enumeração de logs do Event Viewer por processos não relacionados a ferramentas de auditoria - o Megazord enumera logs como parte do reconhecimento pré-criptografia. - **[[ds-0030-instance|Service Stop]]** - Alertar para parada em massa de serviços Windows antes da execução de processos com alto uso de CPU/disco - sequência típica do Megazord antes de iniciar a criptografia. ```sigma title: Megazord Akira Ransomware Log Enumeration status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\wevtutil.exe' CommandLine|contains: - 'el' - 'enum-logs' condition: selection falsepositives: - Legitimaté log management and SIEM collection level: medium tags: - attack.discovery - attack.t1654 - code/distill ``` ## Relevância LATAM/Brasil O grupo [[g1024-akira|Akira]], operador do Megazord, tem demonstrado interesse crescente em organizações latino-americanas, com vítimas documentadas na região. A variante Megazord para Windows complementa a variante ESXi, permitindo ao grupo comprometer toda a infraestrutura de uma organização - um risco real para empresas brasileiras que operam ambientes VMware com workloads Windows críticos. ## Referências - [MITRE ATT&CK - S1191](https://attack.mitre.org/software/S1191) - [CISA - #StopRansomware: Akira Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a)