Agências do governo dos Estados Unidos alertam que o grupo por trás do ransomware Akira foi identificado criptografando máquinas virtuais Nutanix AHV em seus ataques.
Um comunicado conjunto atualizado da CISA, FBI, Departamento de Defesa Cyber Crime Center (DC3), Departamento de Saúde e Serviços Humanos (HHS) e parceiros internacionais revela que o ransomware Akira ampliou suas capacidades para incluir a criptografia dos discos das VMs Nutanix AHV.
O relatório apresenta indicadores de comprometimento atualizados e detalha táticas observadas em investigações do FBI e relatos de terceiros, com dados recentes até novembro de 2025.
Segundo o aviso, em junho de 2025, os cibercriminosos ligados ao Akira começaram a criptografar arquivos de disco das máquinas virtuais Nutanix AHV.
“Em um incidente ocorrido naquele mês, atores do Akira criptografaram arquivos de disco VM Nutanix AHV pela primeira vez, ampliando suas ações além do VMware ESXi e Hyper-V ao explorar a vulnerabilidade SonicWall
CVE-2024-40766
(CWE-284: Improper Access Control)”, destaca o comunicado.
A plataforma Nutanix AHV é uma solução de virtualização baseada em Linux, responsável por executar e gerenciar VMs na infraestrutura da Nutanix.
Por ser amplamente adotada, não surpreende que grupos de ransomware comecem a direcionar ataques a essa plataforma, assim como já fazem com VMware ESXi e Hyper-V.
Embora a CISA não tenha divulgado detalhes precisos de como o Akira mira ambientes Nutanix AHV, análise indica que os encryptors Linux do Akira tentam criptografar arquivos com a extensão .qcow2, que corresponde ao formato de disco virtual utilizado nesse ambiente.
Vale lembrar que essa extensão já vinha sendo alvo do Akira desde o final de 2024.
Contudo, o foco em VMs Nutanix ainda é menos avançado do que o direcionado a VMware ESXi.
No caso do ESXi, o encryptor Linux utiliza comandos como esxcli e vim-cmd para desligar as VMs com segurança antes da criptografia dos discos.
Já para Nutanix AHV, a ação é mais direta: ele simplesmente criptografa os arquivos .qcow2 sem usar comandos nativos da plataforma, como acli ou ncli, para desligar as máquinas.
Além disso, o comunicado atualizou informações sobre os métodos de invasão e táticas pós-comprometimento do Akira.
Para invadir redes corporativas, os afiliados do grupo costumam usar credenciais VPN e SSH roubadas ou obtidas via brute force em roteadores expostos, explorando vulnerabilidades SonicWall (
CVE-2024-40766
) em firewalls.
Após o acesso inicial, eles exploram falhas não corrigidas em servidores Veeam Backup & Replication (
CVE-2023-27532
e CVE-2024-40711) para entrar e apagar backups, dificultando a recuperação das vítimas.
Durante o movimento lateral dentro das redes-alvo, os atacantes utilizam ferramentas como nltest, AnyDesk, LogMeIn, wmiexec.py da Impacket e scripts VB para reconhecimento, propagação e manutenção do acesso.
Também removem ferramentas de detecção em endpoints e criam contas administrativas extras para garantir persistência.
Em um caso específico, os invasores desligaram uma VM controladora de domínio, copiaram seus arquivos VMDK, anexaram a uma nova VM e extraíram os arquivos NTDS.dit e SYSTEM para obter uma conta com privilégios de administrador de domínio.
O aviso ainda informa que a ferramenta “Megazord”, antes associada a operações do Akira, parece ter sido abandonada desde 2024.
Em alguns ataques, o grupo conseguiu exfiltrar dados em até duas horas e, para comunicação com seus servidores de comando e controle, utiliza túneis cifrados via ferramentas como Ngrok, que contornam as defesas tradicionais de perímetro.
A CISA recomenda que as organizações atualizem suas políticas conforme as orientações divulgadas, implementando as mitigações sugeridas.
Além disso, CISA e FBI reforçam boas práticas, como realizar backups offline regulares, aplicar autenticação multifator de forma obrigatória e corrigir rapidamente vulnerabilidades conhecidas e já exploradas em ambientes de produção.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...