O ransomware Akira já embolsou mais de US$ 244 milhões desde o final de setembro de 2025. Um alerta publicado por agências governamentais dos Estados Unidos revelou os lucros do grupo e detalhes da operação – incluindo a informação que os criminosos conseguiam exfiltrar dados em pouco mais de 2 horas após o acesso inicial.
O Akira se espalha principalmente por e-mails maliciosos e explorando falhas em VPNs. Uma vez dentro do sistema, ele é bem sorrateiro: desativa soluções de segurança e usa LOLBins, que são ferramentas legítimas já presentes no computador, para executar ações maliciosas sem levantar suspeitas. Para conseguir mais privilégios, ele rouba credenciais fazendo dump da memória do processo LSASS.
Como funciona o Akira
A criptografia que ele usa vem da mesma base do Conti V2, aquele ransomware que vazou, utilizando CryptGenRandom e ChaCha 2008. Os arquivos atacados ficam com a extensão .akira no final. Ele também apaga as cópias de sombra dos arquivos para impedir qualquer tentativa de recuperação. Interessante é que em alguns casos eles nem se dão ao trabalho de criptografar nada, fazem só extorsão pura: roubam os dados e ameaçam vender ou vazar publicamente se não pagarem.
Quando terminam o ataque, deixam a nota de resgate. E os valores que eles pedem são absurdos, frequentemente chegando a centenas de milhões de dólares.
Desde junho deste ano, o grupo cibercriminoso começou a atacar ambientes Nutanix AHV, criptografando os arquivos de disco das máquinas virtuais. Isso é significativo porque até então eles focavam em VMware ESXi e Hyper-V. Para conseguir isso, exploraram uma vulnerabilidade da SonicWall, a CVE-2024-40766.
O mais preocupante é que eles estavam conseguindo comprometer até dispositivos SonicWall que já estavam com o patch aplicado, confirmando aqueles relatos que surgiram antes sobre ataques direcionados.
Vetores de ataque
A porta de entrada favorita deles são produtos de VPN, especialmente SonicWall. Eles trabalham com várias abordagens simultâneas: roubam credenciais de login, exploram vulnerabilidades conhecidas, compram acesso de IABs (aqueles intermediários que vendem credenciais comprometidas) e também fazem ataques de força bruta e password spraying nos endpoints de VPN.
Eles também têm explorado outras brechas. Por exemplo, ganham acesso através do protocolo SSH explorando endereços IP de roteadores. Uma vez dentro, vão atrás de vulnerabilidades em servidores Veeam Backup que não foram atualizados.
Para manter persistência e se movimentar lateralmente na rede, usam ferramentas de acesso remoto legítimas como AnyDesk e LogMeIn, o que é esperto porque se mistura com atividades normais de administrador.
Um dos casos famosos do grupo é o da KPN Logistics Group, uma empresa de 158 anos que foi à falência após o ataque ransomware. Na ocasião, o Akira conseguiu acesso aos sistemas da empresa por meio de uma senha fraca de um usuário, para uma conta sem autenticação de múltiplo fator. Uma vez dentro dos sistemas, eles criptografaram dados, destruíram backups e sistemas de recuperação de desastres e exigiram £5 milhões para entregar as informações roubadas.
Técnicas sofisticadas de evasão
As técnicas de evasão deles são sofisticadas. Usam o Impacket para manipular protocolos de rede e executar comandos remotos. Para não serem detectados, desinstalam sistemas de EDR. Criam contas de usuário novas e as adicionam ao grupo de administradores.
Tem até um caso que eles desligaram temporariamente a máquina virtual do controlador de domínio, copiaram os arquivos VMDK, arquivos de disco rígido virtual usado por softwares de virtualização, anexaram a uma VM nova e extraíram o arquivo NTDS.dit e o hive do SYSTEM para comprometer uma conta de administrador de domínio com privilégios altíssimos.
Traduzindo, o controlador de domínio é onde ficam guardadas todas as senhas da empresa. Normalmente esse arquivo de senhas é protegido e você não consegue copiar enquanto o sistema está ligado.
Então os atacantes fizeram o seguinte: desligaram a máquina virtual, copiaram o disco rígido virtual inteiro (os arquivos VMDK), e montaram essa cópia em outra máquina que eles controlavam. É como tirar o HD de um computador desligado e plugar em outro.
Com acesso a essa cópia, eles conseguiram pegar o arquivo com todas as senhas da empresa, incluindo a senha do administrador principal. E com essa senha de administrador, eles passaram a ter controle total sobre toda a rede.
Eles usam ferramentas de tunelamento como Ngrok para estabelecer canais de comando e controle criptografados que passam despercebidos pelos sistemas de monitoramento de perímetro. Também usam PowerShell e WMIC para desabilitar serviços e rodar scripts maliciosos. A criptografia que aplicam é híbrida e sofisticada, e os arquivos criptografados recebem extensões como .akira, .powerranges, .akiranew ou .aki. A nota de resgate aparece como fn.txt ou akira_readme.txt no diretório raiz e nas pastas de usuários.
Como se proteger
As recomendações de mitigação contra o Akira incluem priorizar a correção de vulnerabilidades conhecidas e exploradas, implementar autenticação multifator resistente a phishing em todos os acessos – especialmente VPNs – e manter backups regulares armazenados offline, com testes periódicos de restauração. O alerta faz parte da iniciativa #StopRansomware, que publica orientações para ajudar equipes de segurança a entenderem e se defenderem das variantes e grupos de ransomware em atividade.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.