Ataque por Akira começou com fake CAPTCHA e resultou em quase 1 TB exfiltrado | Cyber ataques

Howling Scorpius explorou um falso CAPTCHA (ClickFix) para entregar SectopRAT e manter uma intrusão de 42 dias numa grande empresa global de armazenamento. Os invasores exfiltraram quase 1 TB, apagaram backups e implantaram o ransomware Akira em servidores de três redes; a Unit 42 da Palo Alto Networks ajudou na investigação e negociou o resgate, reduzido ~68%.

Um ataque abrangente atribuído ao grupo Howling Scorpius, distribuidor do ransomware Akira, começou com um falso teste tipo CAPTCHA e derivou numa intrusão de 42 dias que afetou uma grande empresa global de armazenamento e infraestrutura.

Descoberta e escopo

Relatos de investigação descrevem que o incidente iniciou quando um funcionário interagiu com um falso verificador (fake CAPTCHA) em um site comprometido, técnica conhecida como ClickFix. A interação levou à execução de um dropper que instalou SectopRAT, um trojan de acesso remoto escrito em .NET, dando aos atacantes um foothold na rede da vítima.

Abordagem técnica e movimento lateral

Após a infecção inicial, os atacantes estabeleceram um backdoor de comando e controle e mapearam a infraestrutura virtual. Ao longo de 42 dias, comprometeram várias contas privilegiadas, incluindo administradores de domínio, e se moveram lateralmente usando RDP, SSH e SMB. A campanha envolveu acesso a domain controllers, movimentação entre unidades de negócio e pivote para recursos em nuvem.

Exfiltração, destruição e implantação do ransomware

Antes de disparar o ransomware Akira, os operadores deletaram containers de backup e exfiltraram quase um terabyte de dados utilizando FileZillaPortable. Em seguida, implantaram o payload do Akira em servidores de três redes distintas, causando indisponibilidade de máquinas virtuais e paralisação operacional. Foi exigido pagamento de resgate.

Detecção e falhas de observabilidade

Apesar de a organização possuir duas soluções EDR empresariais que registraram atividades maliciosas, essas ferramentas geraram poucos alertas. Logs continham registros completos de conexões e movimentos laterais, mas a ausência de alertas eficazes deixou evidências “à vista” sem ação apropriada.

Resposta e negociação

A investigação conduzida pela Unit 42 da Palo Alto Networks reconstruíu o caminho do ataque. No processo de resposta, foi possível negociar a demanda de resgate, reduzindo o valor em aproximadamente 68% segundo os relatos.

Limites das informações

As fontes não divulgam o nome da empresa afetada nem o montante originalmente exigido; o relato indica apenas que se trata de uma grande provedora global de armazenamento e infraestrutura. Também não há detalhamento de indicadores de comprometimento (IOCs) completos na matéria resumida.

Implicações

O caso ilustra a eficácia de engenharia social sofisticada (ClickFix/fake CAPTCHA), a persistência de RATs em modo stealth e a importância de correlação de logs e alertas para transformar telemetry em detecção acionável. A destruição de backups e a exfiltração massiva reforçam o perfil de risco de ataques que combinam roubo de dados e destruição/inacessibilidade por ransomware.