FBI revela que grupo Akira já arrecadou quase US$ 250 milhões em resgates de ransomware

Agências governamentais dos Estados Unidos e da Europa divulgaram nesta quinta-feira novas informações para auxiliar organizações a se protegerem do grupo hacker Akira, responsável por uma série de ataques de ransomware desde 2023. O alerta atualizado, originalmente publicado em abril de 2024, traz uma lista ampliada de táticas, técnicas e vulnerabilidades exploradas pelos invasores, bem como dados sobre o impacto financeiro causado pela campanha criminosa.

De acordo com o comunicado, até o final de setembro o Akira já havia acumulado mais de US$ 244 milhões em pagamentos de resgate, consolidando-se como um dos grupos mais lucrativos da atualidade. “O Akira não apenas rouba dinheiro — ele interrompe os sistemas que sustentam nossos hospitais, escolas e empresas”, afirmou Brett Leatherman, diretor assistente da divisão cibernética do FBI. “Por trás de cada rede comprometida, há pessoas e comunidades profundamente afetadas por esses hackers.”

A atualização contou com contribuições do FBI, do Departamento de Defesa, do Departamento de Saúde e Serviços Humanos dos EUA, além da Europol e de autoridades da França, Alemanha e Holanda. Os operadores do Akira têm como alvos principais os setores de manufatura, educação, TI e saúde, atingindo desde pequenas empresas até instituições críticas.

Entre as técnicas utilizadas para obter acesso inicial, o grupo frequentemente explora produtos VPN como os da SonicWall, seja roubando credenciais ou explorando falhas como a vulnerabilidade CVE-2024-40766. Em outros casos, o Akira se apoia em credenciais comprometidas adquiridas via initial access brokers ou obtidas por brute force, além de empregar password spraying com ferramentas como SharpDomainSpray. Após invadirem uma rede, os hackers abusam de soluções de acesso remoto, como AnyDesk e LogMeIn, para se misturar à atividade legítima dos administradores. Em alguns incidentes, equipes de resposta observaram a desinstalação de soluções EDR pelos invasores.

O FBI alertou ainda que, em determinadas ocorrências, o Akira conseguiu roubar dados em menos de duas horas após a invasão, evidenciando o nível de agilidade e automação das operações. O comunicado também inclui recomendações específicas para escolas K-12, um dos segmentos repetidamente afetados pelo ransomware.

As autoridades reforçaram que o Akira possui ligações com o extinto grupo Conti, um dos coletivos de ransomware mais ativos antes de se desmantelar no início da guerra na Ucrânia. Embora o FBI afirme não haver evidências de vínculos diretos com o governo russo, Leatherman reconheceu que atores associados ao Conti atuavam anteriormente na Rússia e que membros do Akira podem estar distribuídos globalmente, dentro do modelo de afiliados típico desse tipo de operação.

Pesquisadores já haviam apontado similaridades profundas entre o código do Akira e o do Conti, e análises de blockchain mostram transações conectando carteiras dos dois grupos.

O Akira segue ativo e recentemente assumiu a autoria de um ataque contra a BK Technologies, empresa da Flórida que fabrica rádios para companhias de defesa dos EUA e para dezenas de departamentos de polícia e bombeiros. Os hackers roubaram dados confidenciais e informações de funcionários. O grupo também reivindicou ataques contra a Universidade Stanford, o Zoológico de Toronto, um banco estatal da África do Sul, a corretora London Capital Group e várias outras organizações de alta relevância.

Via - RFN