O grupo de ransomware Akira rapidamente ganhou notoriedade. O grupo surgiu em março de 2023 e já era o quarto grupo mais ativo em agosto, exigindo milhões de dólares em resgate às suas vítimas. A Logpoint analisou as táticas, técnicas e processos.
Akira concentra-se principalmente em empresas de diversos setores no Reino Unido e nos EUA, incluindo educação, finanças, imobiliário, manufatura e consultoria.
“Akira provou ser extremamente ativo e acumulou uma extensa lista de vítimas em um curto período de tempo. A cada ataque, o grupo evolui com capacidades adicionais”, afirma Swachchhanda Shrawan Poudel, engenheiro de pesquisa de segurança da Logpoint. “O grupo já teve várias vítimas desde o seu surgimento em março e não há sinais de que as suas atividades estejam diminuindo. O oposto é verdadeiro, pois o número de vítimas aumenta a cada mês.”
APT Akira já está em 4º lugar no ranking
O ransomware é um malware sofisticado que visa criptografar os arquivos no sistema da vítima, excluir cópias de sombra e fornecer instruções para pagamento do resgate e recuperação de dados. Utiliza algoritmos de criptografia, critérios de exclusão e um sistema de comunicação baseado em TOR para realizar operações maliciosas.
As investigações da Logpoint revelaram a cadeia de infecção do Akira através da análise de malware. Akira está visando ativamente VPNs Cisco ASA sem autenticação multifator para explorar o CVE-2023-20269 como um ponto de entrada para seu ransomware. Os membros do grupo usam vários padrões de malware em seus ataques que desencadeiam uma série de etapas para criptografar os arquivos das vítimas, incluindo a exclusão de cópias de sombra, a busca por arquivos e diretórios e o processo de enumeração e criptografia.
Akira ransomware age impiedosamente
“O surgimento de Akira mostra a importância das medidas básicas de segurança cibernética”, diz Swachchhanda Shrawan Poudel. “Neste caso, implementar a autenticação multifator pode significar a diferença entre um ataque cibernético devastador e uma tentativa de ataque inofensiva. As empresas devem monitorar os riscos e tomar medidas de proteção adequadas. Isso inclui atualização de software e sistemas, verificação de contas privilegiadas e segmentação da rede.”
A plataforma de operações de segurança da Logpoint, Converged SIEM, fornece ferramentas e recursos abrangentes para identificar, avaliar e mitigar o impacto do ransomware Akira. Com recursos como a solução nativa de endpoint AgentX e SOAR com manuais pré-configurados, as equipes de segurança podem automatizar as principais etapas de resposta a incidentes, coletar logs e dados críticos e acelerar a detecção e correção de malware.
A Logpoint tem um relatório completo sobre Akira em seu blog. Lá você obtém uma visão profunda da cadeia de infecção, a análise técnica de amostras de malware e recomendações para proteção contra a ameaça.
Mais em Logpoint.com
Sobre LogPoint
A Logpoint é fabricante de uma plataforma confiável e inovadora para operações de segurança cibernética. Com a combinação de tecnologia avançada e um profundo conhecimento dos desafios dos clientes, a Logpoint fortalece as capacidades das equipes de segurança e as ajuda a combater ameaças atuais e futuras. A Logpoint oferece tecnologias de segurança SIEM, UEBA, SOAR e SAP que convergem em uma plataforma completa que detecta ameaças com eficiência, minimiza falsos positivos, prioriza riscos de forma autônoma, responde a incidentes e muito mais.