Conheça Akira - Uma nova operação de ransomware visando empresas
8 de Maio de 2023

A nova operação de ransomware Akira tem lentamente construído uma lista de vítimas, invadindo redes corporativas em todo o mundo, criptografando arquivos e exigindo resgates de milhões de dólares.

Lançado em março de 2023, o Akira afirma já ter realizado ataques em dezesseis empresas, em diversas indústrias, incluindo educação, finanças, imóveis, manufatura e consultoria.

Embora outro ransomware chamado Akira tenha sido lançado em 2017, não se acredita que essas operações estejam relacionadas.

Uma amostra do ransomware Akira foi descoberta pela MalwareHunterTeam, que compartilhou com o BleepingComputer para que pudesse ser analisado.

Ao ser executado, o Akira exclui as Cópias de Volume de Sombra do Windows no dispositivo, executando o seguinte comando PowerShell.

O ransomware então procede para criptografar arquivos que contêm as seguintes extensões de arquivo.

Durante a criptografia, o criptografador saltará arquivos encontrados na Lixeira, Informações do Volume do Sistema, Inicialização, ProgramData e pastas do Windows.

Também evitará a criptografia dos arquivos do sistema Windows com as extensões de arquivo .exe, .lnk, .dll, .msi e .sys.

Ao criptografar arquivos, o ransomware criptografa esses arquivos e anexa a extensão .akira ao nome do arquivo.

Por exemplo, um arquivo chamado 1.doc seria criptografado e renomeado para 1.doc.akira.

O Akira também usa a API do Windows Restart Manager para fechar processos ou desligar serviços do Windows que podem estar mantendo um arquivo aberto e impedindo a criptografia.

Cada pasta do computador conterá uma nota de resgate chamada akira_readme.txt que inclui informações sobre o que aconteceu com os arquivos da vítima e links para o site de vazamento de dados e site de negociação do Akira.

"Quanto aos seus dados, se não conseguirmos chegar a um acordo, tentaremos vender informações pessoais/segredos comerciais/bancos de dados/códigos-fonte - geralmente tudo o que tem valor no mercado negro - para múltiplos atores de ameaças de uma só vez.

Em seguida, tudo isso será publicado em nosso blog", ameaça a nota de resgate do Akira.

Cada vítima tem uma senha de negociação exclusiva que é inserida no site do Tor dos atores de ameaças.

Ao contrário de muitas outras operações de ransomware, este site de negociação inclui apenas um sistema de chat que a vítima pode usar para negociar com a gangue de ransomware.

Como outras operações de ransomware, o Akira invadirá uma rede corporativa e se espalhará lateralmente para outros dispositivos.

Uma vez que os atores de ameaças obtêm credenciais de administração de domínio do Windows, eles implantarão o ransomware em toda a rede.

No entanto, antes de criptografar arquivos, os atores de ameaças roubarão dados corporativos para usá-los como alavanca em suas tentativas de extorsão, alertando as vítimas de que eles serão publicamente divulgados se o resgate não for pago.

A gangue do Akira se esforçou muito em seu site de vazamento de dados, dando-lhe uma aparência retrô, onde os visitantes podem navegá-lo digitando comandos.

No momento em que este texto foi escrito, o Akira vazou os dados de quatro vítimas em seu site de vazamento de dados, com o tamanho dos dados vazados variando de 5,9 GB para uma empresa a 259 GB para outra.

A partir das negociações vistas pelo BleepingComputer, a gangue de ransomware exige resgates que variam de US$ 200.000 a milhões de dólares.

Eles também estão dispostos a reduzir as exigências de resgate para empresas que não precisam de um descriptografador e só querem evitar o vazamento de dados roubados.

O ransomware está sendo analisado atualmente em busca de vulnerabilidades, e o BleepingComputer não aconselha as vítimas a pagar o resgate até que seja determinado se um descriptografador gratuito pode recuperar os arquivos de graça.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...