A nova operação de ransomware Akira tem lentamente construído uma lista de vítimas, invadindo redes corporativas em todo o mundo, criptografando arquivos e exigindo resgates de milhões de dólares.
Lançado em março de 2023, o Akira afirma já ter realizado ataques em dezesseis empresas, em diversas indústrias, incluindo educação, finanças, imóveis, manufatura e consultoria.
Embora outro ransomware chamado Akira tenha sido lançado em 2017, não se acredita que essas operações estejam relacionadas.
Uma amostra do ransomware Akira foi descoberta pela MalwareHunterTeam, que compartilhou com o BleepingComputer para que pudesse ser analisado.
Ao ser executado, o Akira exclui as Cópias de Volume de Sombra do Windows no dispositivo, executando o seguinte comando PowerShell.
O ransomware então procede para criptografar arquivos que contêm as seguintes extensões de arquivo.
Durante a criptografia, o criptografador saltará arquivos encontrados na Lixeira, Informações do Volume do Sistema, Inicialização, ProgramData e pastas do Windows.
Também evitará a criptografia dos arquivos do sistema Windows com as extensões de arquivo .exe, .lnk, .dll, .msi e .sys.
Ao criptografar arquivos, o ransomware criptografa esses arquivos e anexa a extensão .akira ao nome do arquivo.
Por exemplo, um arquivo chamado 1.doc seria criptografado e renomeado para 1.doc.akira.
O Akira também usa a API do Windows Restart Manager para fechar processos ou desligar serviços do Windows que podem estar mantendo um arquivo aberto e impedindo a criptografia.
Cada pasta do computador conterá uma nota de resgate chamada akira_readme.txt que inclui informações sobre o que aconteceu com os arquivos da vítima e links para o site de vazamento de dados e site de negociação do Akira.
"Quanto aos seus dados, se não conseguirmos chegar a um acordo, tentaremos vender informações pessoais/segredos comerciais/bancos de dados/códigos-fonte - geralmente tudo o que tem valor no mercado negro - para múltiplos atores de ameaças de uma só vez.
Em seguida, tudo isso será publicado em nosso blog", ameaça a nota de resgate do Akira.
Cada vítima tem uma senha de negociação exclusiva que é inserida no site do Tor dos atores de ameaças.
Ao contrário de muitas outras operações de ransomware, este site de negociação inclui apenas um sistema de chat que a vítima pode usar para negociar com a gangue de ransomware.
Como outras operações de ransomware, o Akira invadirá uma rede corporativa e se espalhará lateralmente para outros dispositivos.
Uma vez que os atores de ameaças obtêm credenciais de administração de domínio do Windows, eles implantarão o ransomware em toda a rede.
No entanto, antes de criptografar arquivos, os atores de ameaças roubarão dados corporativos para usá-los como alavanca em suas tentativas de extorsão, alertando as vítimas de que eles serão publicamente divulgados se o resgate não for pago.
A gangue do Akira se esforçou muito em seu site de vazamento de dados, dando-lhe uma aparência retrô, onde os visitantes podem navegá-lo digitando comandos.
No momento em que este texto foi escrito, o Akira vazou os dados de quatro vítimas em seu site de vazamento de dados, com o tamanho dos dados vazados variando de 5,9 GB para uma empresa a 259 GB para outra.
A partir das negociações vistas pelo BleepingComputer, a gangue de ransomware exige resgates que variam de US$ 200.000 a milhões de dólares.
Eles também estão dispostos a reduzir as exigências de resgate para empresas que não precisam de um descriptografador e só querem evitar o vazamento de dados roubados.
O ransomware está sendo analisado atualmente em busca de vulnerabilidades, e o BleepingComputer não aconselha as vítimas a pagar o resgate até que seja determinado se um descriptografador gratuito pode recuperar os arquivos de graça.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...