Panorama e discrepâncias nos valores reportados
O advisory da CISA (referenciado pela matéria) indica que Akira afetou mais de 250 organizações na América do Norte, Europa e Austrália e reporta aproximadamente $244,17 milhões em rendimentos de resgates até o final de setembro de 2025. Observa‑se uma divergência editorial: o título da peça menciona $42 milhões em pagamentos, enquanto o corpo, citando a CISA, aponta o valor de ~$244,17 milhões; as fontes divergem e o advisory da CISA é a referência primária para o total mais elevado.
Técnicas, vetores e evolução
A CISA documenta a evolução das variantes do Akira: inicialmente um binário em C++ que adicionava a extensão .akira; em abril de 2023 surgiram variantes Linux visando VMware ESXi; em agosto de 2023 foi reportado o encryptor Megazord (Rust) que adiciona .powerranges; em junho de 2025 o grupo explorou CVE‑2024‑40766 para criptografar discos de VM Nutanix AHV. O grupo também desenvolveu implementações híbridas de criptografia combinando ChaCha20 para stream e RSA para o estabelecimento de chaves.
Modelos de ataque e ferramentas observadas
Akira opera um modelo de double extortion: encriptação de dados combinada com ameaças de vazamento. Para persistência, os atores criam contas de domínio, usam ferramentas de roubo de credenciais como Mimikatz e LaZagne e empregam ferramentas legítimas de acesso remoto (AnyDesk, LogMeIn) para manter presença.
Para movimentação e exfiltração, foram observados utilitários como FileZilla, WinSCP e RClone para transferir dados a armazenamentos em nuvem antes da criptografia. O encryptor usa comandos PowerShell para eliminar cópias do Volume Shadow Copy Service, dificultando a recuperação.
Vetor inicial e mitigação imediata
A CISA aponta que um vetor recorrente é o acesso via serviços VPN sem autenticação multifator configurada e a exploração de vulnerabilidades conhecidas em produtos de redes (menção específica a produtos da Cisco e à CVE‑2024‑40766 explorada contra Nutanix AHV). Entre as recomendações estão:
- Habilitar MFA em acesso remoto e em VPNs;
- Aplicar patches e mitigações para vulnerabilidades conhecidas em dispositivos de rede e infraestrutura virtualizada;
- Monitorar criação de contas de domínio e uso de ferramentas de administração remota;
- Manter backups offline e validar procedimentos de restauração;
- Implementar segmentação de rede e detecção de exfiltração para serviços de cloud storage.
Limites das informações
A advisory fornece detalhes técnicos e TTPs (táticas, técnicas e procedimentos) mas não lista todas as vítimas ou evidências que liguem cada incidente a pagamentos específicos. A diferença nos valores de receitas reportadas entre título e corpo evidencia que diferentes estimativas podem coexistir; a CISA é a referência citada para o total de ~$244,17 milhões até setembro de 2025.
Repercussão e contexto regulatório
Para organizações brasileiras, incidentes de ransomware que envolvem exfiltração de dados podem implicar obrigações de notificação e investigativas sob a LGPD quando houver dados pessoais comprometidos. A resposta operacional deve contemplar contenção, busca por indicadores de comprometimento, validação de backups e avaliação de comunicação às autoridades competentes conforme legislação local.
Fonte: CISA (advisory reproduzido por Cyber Security News).