Agências globais proeminentes denunciaram um grupo de ransomware recém-surgido chamado Akira, com apenas um ano de existência, pelas suas invasões cibernéticas generalizadas, violando mais de 250 organizações em todo o mundo e arrecadando quase 42 milhões de dólares em pagamentos de resgate.
As investigações lideradas pelo Federal Bureau of Investigation (FBI) dos Estados Unidos revelaram que Akira tem visado ativamente empresas e infraestruturas críticas na América do Norte, Europa e Austrália desde março de 2023.
Inicialmente focado em sistemas Windows, o cenário de ameaças de Akira expandiu-se com a descoberta de sua variante Linux pelo FBI.
Em resposta a esta ameaça crescente, o FBI, a Agência de Segurança Cibernética e de Infraestruturas (CISA), o Centro Europeu de Cibercriminalidade (EC3) da Europol e o Centro Nacional de Segurança Cibernética dos Países Baixos (NCSC-NL) emitiram conjuntamente um comunicado de segurança cibernética (CSA) em uma tentativa de aumentar a conscientização e mitigar os riscos representados por Akira no futuro.
“As primeiras versões da variante do ransomware Akira foram escritas em C++ e arquivos criptografados com uma extensão .akira; no entanto, a partir de agosto de 2023, alguns ataques Akira começaram a implantar o Megazord, usando código baseado em Rust que criptografa arquivos com extensão .powerranges.
Os atores da ameaça Akira continuaram a usar Megazord e Akira, incluindo Akira_v2 (identificado por investigações de terceiros confiáveis) de forma intercambiável.”
A Akira recentemente atacou a Nissan Oceania e a Universidade de Stanford em ataques de ransomware. A Nissan Oceania relatou uma violação de dados que afetou 100 mil pessoas em março, e a Universidade de Stanford divulgou um problema de segurança que afetou 27 mil pessoas no mês passado, ambos incidentes ligados a Akira.
Os atores da ameaça são conhecidos por usarem uma tática de dupla extorsão, criptografando sistemas após coletar dados. A nota de resgate fornece a cada empresa um código exclusivo e um URL .onion para contatá-las. Eles não pedem resgate ou detalhes de pagamento nas redes hackeadas; eles só os compartilham quando contatados pela vítima.