Ransomware Akira
O Akira é uma nova variante de ransomware que foi identificada pela primeira vez na natureza no primeiro trimestre de 2023. Essa variante de malware ataca os sistemas Windows e Linux e usa o ChaCha2008 para negar aos usuários o acesso aos seus dados.
Como funciona o Akira ransomware?
A variante do ransomware Akira é distribuída de várias maneiras. Alguns mecanismos de distribuição conhecidos incluem anexos de e-mail infectados e a exploração de vulnerabilidades no endpoint VPN. Depois que o ransomware Akira obtém acesso a um sistema, ele usa vários meios para ocultar sua presença. Por exemplo, o ransomware pode trabalhar contra soluções de segurança de endpoint e usar LOLBins - que "vivem da terra" usando a funcionalidade incorporada em um computador para executar ações maliciosas - para aumentar a complexidade da detecção e correção da infecção. O ransomware também é conhecido por roubar credenciais de um sistema ao despejar a memória do processo LSASS, fornecendo a ele acesso e privilégios adicionais no sistema comprometido.
Como o ransomware Conti V2, que vazou, o malware usa CryptGenRandom e ChaCha 2008 para criptografia de arquivos. Os arquivos criptografados podem ser identificados por um .akira anexada aos seus nomes de arquivos. O malware também exclui cópias de sombra dos arquivos, impedindo que eles sejam usados para recuperação de dados. Em alguns casos, o ransomware também foi observado realizando ataques somente de extorsão. Esses ataques pulam a etapa de criptografia de dados e, em vez disso, exfiltram os dados e exigem um resgate para não vendê-los ou vazá-los publicamente. Depois que o ransomware criptografa e/ou rouba os dados, ele exibe uma mensagem de resgate. Akira é conhecido por exigir grandes resgates, muitas vezes na casa das centenas de milhões de dólares.
Qual é o objetivo do Akira ransomware?
O grupo de ransomware Akira geralmente exige um grande resgate, portanto, seu principal alvo são as grandes empresas. Em geral, o ransomware tem como alvo empresas da América do Norte, Europa e Austrália.
Muitas vezes, o malware é distribuído como parte de uma campanha de ameaças direcionadas, aproveitando e-mails de phishing ou software vulnerável para infectar sistemas. Os setores-alvo comuns incluem educação, finanças, manufatura e o setor médico.
Como se proteger contra o Akira ransomware
As infecções pelo ransomware Akira podem ser onerosas para uma empresa em termos de diminuição da produtividade, perda de dados e custo de resgates e remediação. Algumas práticas recomendadas que as organizações podem implementar para reduzir o risco de um ataque bem-sucedido de ransomware incluem o seguinte:
- Treinamento de conscientização sobre segurança cibernética: O Akira utiliza e-mails de phishing e credenciais comprometidas para distribuir seu malware. O treinamento de conscientização sobre segurança cibernética pode reduzir a exposição de uma organização a essas ameaças, ensinando aos funcionários as práticas recomendadas de segurança e como reconhecer técnicas comuns de ataque.
- Soluções Anti-ransomware: A criptografia e a exfiltração de dados realizadas pelo ransomware são incomuns e um claro indicador de um ataque ao ransomware. As soluções antiransomware podem usar esses indicadores comportamentais e outros fatores para identificar, bloquear e corrigir infecções pelo Akira e outros ransomware.
- Backups de dados: Crypto ransomware como o Akira foi projetado para forçar uma empresa a pagar um resgate, criptografando seus dados e exigindo o pagamento da chave de descriptografia. Os backups de dados permitem que uma empresa recupere dados criptografados sem pagar o pedido de resgate.
- Gerenciamento de patches: O Akira geralmente explora a vulnerabilidade do software VPN para se infiltrar em um ambiente-alvo. A instalação imediata de patches e atualizações permite que a empresa encerre esses problemas de segurança de API antes que eles possam ser explorados pelo grupo ransomware.
- Autenticação forte do usuário: A variante do Akira ransomware geralmente tem como alvo VPNs que não possuem Autenticação multifatorial (MFA), o que torna mais fácil para o invasor explorar credenciais comprometidas. A imposição do uso de MFA em sistemas corporativos aumenta a dificuldade para o grupo de ransomware infectar sistemas com seu malware.
- Segmentação de rede: o site ransomware geralmente precisa se deslocar lateralmente em uma rede corporativa, desde o ponto inicial de infecção até um sistema com dados valiosos. A segmentação da rede torna esse movimento mais detectável e evitável antes que os dados confidenciais possam ser criptografados ou roubados.
Evite ataques de ransomware com Check Point
O ransomware surgiu como uma das principais ameaças à segurança cibernética corporativa e à segurança de dados. Os ataques modernos de ransomware não apenas ameaçam a perda de dados, mas também a violação de informações confidenciais de empresas e clientes.
O Akira, embora seja uma variante de ransomware relativamente nova, já provou ser uma das variantes de malware mais perigosas em operação. Ele usa várias técnicas para se ocultar nos sistemas infectados e combina criptografia de dados e extorsão em suas tentativas de forçar as empresas a pagar grandes resgates.
A prevenção de ataques de ransomware é essencial para a segurança cibernética e a capacidade de manter as operações de uma organização. O senhor pode explorar ainda mais a ransomware prevenção de ameaças conferindo o CISO's Guide to ransomware Prevention.
Check Point’s Check Point Endpoint Security incorporates robust ransomware prevention capabilities as well as the ability to defend an organization’s systems against various potential endpoint security threats. To learn about Check Point Endpoint Security’s capabilities and find out how it can help protect your company against Akira and other endpoint security threats, feel free to sign up for a free demo today.
