Uma operação global coordenada pelo FBI, CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA), Europol e o Centro Nacional de Segurança Cibernética da Holanda revelou nesta semana a escala real das operações do grupo de ransomware Akira. Segundo o comunicado, a organização criminosa acumulou aproximadamente US$ 244 milhões em pagamentos de resgate, comprometendo varias organizações na América do Norte, Europa e Austrália.
O alerta técnico emitido pelas autoridades busca chamar a atenção de líderes de TI e CISO para a metodologia do grupo, que se destaca não pela complexidade de novos exploits, mas pela eficiência na exploração de vulnerabilidades antigas que já são conhecidas e possuem patches.
O Vetor de Ataque
A investigação aponta que a principal porta de entrada para os ataques continua sendo a exploração de serviços de Rede Privada Virtual (VPN) desprovidos de Autenticação Multifator (MFA). O relatório detalha que o Akira capitaliza, de forma sistemática, vulnerabilidades conhecidas em dispositivos Cisco ASA e Firepower Threat Defense (FTD), especificamente as falhas catalogadas como CVE-2020-3259 e CVE-2023-20269.
Essas brechas permitem que os atacantes realizem a extração de credenciais da memória dos dispositivos ou executem ataques de força bruta para obter acesso inicial. Uma vez dentro da rede, a movimentação é facilitada pelo uso de credenciais administrativas roubadas, permitindo o controle da rede antes que as defesas automatizadas possam reagir.
Um dos pontos mais críticos levantados no relatório é a drástica redução no tempo de permanência (dwell time) dos atacantes. Em incidentes recentes analisados pelas agências, observou-se um intervalo de pouco mais de duas horas entre o acesso inicial e a extração completa de dados sensíveis.
Essa velocidade se torna desafiadora para os protocolos tradicionais de resposta a incidentes. O grupo utiliza ferramentas de administração legítimas, como AnyDesk e Ngrok, para mascarar o tráfego de extração como atividades rotineiras de suporte técnico, dificultando a detecção por sistemas de monitoramento baseados apenas em assinaturas de malware.
Expansão para Infraestrutura Virtualizada (Nutanix e ESXi)
Em sua evolução, o Akira expandiu seu escopo de ataque para além dos sistemas operacionais convencionais, mirando diretamente a camada de virtualização.
O relatório confirma que, a partir de junho de 2025, o grupo passou a criptografar arquivos de disco de máquinas virtuais em ambientes Nutanix AHV, além de manter variantes Linux focadas em comprometer hipervisores VMware ESXi. Ao atacar o hipervisor, o ransomware consegue neutralizar múltiplos servidores simultaneamente, contornando proteções de endpoint instaladas nas máquinas virtuais individuais e ampliando o impacto da paralisação.
Fontes: