Akira, um grupo de ransomware com um ano de existência, violou mais de 250 organizações e extraiu aproximadamente US$ 42 milhões em receitas de ransomware, alertaram as principais agências globais de segurança cibernética.
As investigações conduzidas pelo Federal Bureau of Investigation (FBI) dos Estados Unidos descobriram que o ransomware Akira tem como alvo empresas e entidades de infraestrutura crítica na América do Norte, Europa e Austrália desde março de 2023. Embora o ransomware inicialmente tivesse como alvo sistemas Windows, o FBI encontrou recentemente o Linux de Akira variante também.
O FBI, juntamente com a Agência de Segurança Cibernética e de Infraestrutura (CISA), o Centro Europeu de Crimes Cibernéticos da Europol (EC3) e o Centro Nacional de Segurança Cibernética da Holanda (NCSC-NL), lançaram um comunicado conjunto de segurança cibernética (CSA) para “disseminar” a ameaça às massas.
De acordo com a assessoria, Akira obtém acesso inicial por meio de redes privadas virtuais (VPN) pré-instaladas que não possuem autenticação multifator (MFA). O ransomware então extrai credenciais e outras informações confidenciais antes de bloquear o sistema e exibir uma nota de resgate.
“Os atores da ameaça Akira não deixam um pedido inicial de resgate ou instruções de pagamento nas redes comprometidas e não transmitem essas informações até serem contatados pela vítima.”
O grupo de ransomware exige pagamentos em Bitcoin (BTC) das organizações vítimas para restaurar o acesso. Esse malware geralmente desativa o software de segurança após o acesso inicial para evitar a detecção.
Melhores práticas de segurança cibernética contra ataques de ransomware. Fonte: cisa.gov
Algumas das técnicas de mitigação de ameaças recomendadas no comunicado são a implementação de um plano de recuperação e autenticação multifator, a filtragem do tráfego de rede, a desativação de portas e hiperlinks não utilizados e a criptografia em todo o sistema.
“O FBI, CISA, EC3 e NCSC-NL recomendam testar continuamente seu programa de segurança, em escala, em um ambiente de produção para garantir o desempenho ideal em relação às técnicas MITRE ATT&CK identificadas neste comunicado”, concluíram as agências.
Relacionado: O malware misterioso tem como alvo os trapaceiros do Call of Duty, roubando seus Bitcoins
O FBI, a CISA, o NCSC e a Agência de Segurança Nacional (NSA) emitiram alertas anteriormente sobre malware que estava sendo usado para atingir carteiras e exchanges de criptomoedas.
Diretórios onde as informações foram extraídas pelo malware. Fonte: Centro Nacional de Segurança Cibernética
O relatório observou que alguns dos dados extraídos pelo malware incluíam dados nos diretórios dos aplicativos de troca Binance e Coinbase e do aplicativo Trust Wallet. De acordo com o relatório, todos os arquivos nos diretórios listados estão sendo exfiltrados, independentemente do tipo.
Revista: Obtenha Bitcoin ou morra tentando: Por que as estrelas do hip hop amam criptografia