O 3º. grupo de ransomware com mais casos observados por nós no Brasil é o Akira, surgido em março de 2023, tornando-se rapidamente uma ameaça significativa, operando como Ransomware-as-a-Service (RaaS) e utilizando táticas de dupla extorsão (criptografia de dados e ameaça de vazamento). Ele tem como alvo principal pequenas e médias empresas, mas também afeta infraestruturas críticas, com mais de 250 organizações impactadas ao redor do mundo, acumulando cerca de US$ 42 milhões em resgates.
- Falha de vazamento de informações no Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), que permite a um atacante remoto não autenticado extrair conteúdos sensíveis da memória do dispositivo, tais como credenciais.
- Ano da descoberta: 2020
- CVSS: 7.5 (Alta).
- EPSS: 0.912 (91.2% de chance de exploração ativa em 31/3/2025).
- Há solução para essas vulnerabilidades?
- Sim. A Cisco lançou atualizações de software para corrigir a CVE-2020-3259 em 6 de maio de 2020, como parte do boletim de segurança CSCvt15163.
- Vulnerabilidade no recurso VPN do Cisco ASA e FTD, que permite ataques de força bruta não autenticados contra contas existentes, possibilitando a criação de sessões VPN SSL sem cliente.
- Ano da descoberta: 2023
- CVSS: 5.0 (Média).
- EPSS: 0.965 (96.5% de chance de exploração ativa em 31/3/2025).
- Há solução para essas vulnerabilidades?
- Sim. A Cisco lançou atualizações de software para corrigir a CVE-2023-20269 em 6 de setembro de 2023, como parte do boletim de segurança CSCwh23100 e CSCwh45108.
- Falha no software Veeam Backup & Replication que permite a um atacante acessar credenciais criptografadas no banco de dados de configuração, facilitando o acesso a sistemas de backup.
- Ano da descoberta: 2023
- CVSS: 7.5 (Alta).
- EPSS: 0.943 (94.3% de chance de exploração ativa em 31/3/2025).
- Há solução para essas vulnerabilidades?
- Sim. A Veeam lançou uma atualização para corrigir a CVE-2023-27532 em 7 de março de 2023, como parte do boletim de segurança KB4342.
O Akira também costuma utilizar vulnerabilidade mais recentes, tais como como a CVE-2024-40766 (vulnerabilidade no SonicWall SonicOS que permite execução remota de código, com CVSS 9.8 e EPSS 97.8% de chance de exploração) e a CVE-2023-48788 (falha no FortiClientEMS que permite acesso inicial, escalonamento de privilégios e movimento lateral em sistemas vulneráveis, com CVSS 9.8 Crítica e EPSS 97,0% de chance de exploração).
Opinião [ CYLO ] Cybersecurity Team:
Os ataques do grupo de ransomware Akira continuam tendo sucesso, mesmo com soluções disponíveis para as vulnerabilidades que exploram (como CVE-2020-3259, CVE-2023-20269 e CVE-2023-27532, corrigidas entre 2020 e 2023), por uma combinação de fatores técnicos, humanos e estratégicos. Muitas organizações, especialmente pequenas e médias empresas (principais alvos do Akira), não aplicaram os patches disponíveis. Por exemplo, a CVE-2020-3259, corrigida em maio de 2020, ainda é explorada em appliances Cisco ASA/FTD expostas na internet, conforme relatórios da Truesec e da CISA. Isso ocorre devido à falta de recursos, priorização ou sistemas legados que não suportam atualizações. O Akira frequentemente explora VPNs sem MFA, como nas CVEs Cisco (CVE-2020-3259 e CVE-2023-20269), sendo comum observar que o ataque não te sucesso contra sistemas com MFA (autenticação de múltiplos fatores) configurada, mas muitas organizações ainda usam autenticação de fator único, facilitando ataques de força bruta. Além de vulnerabilidades, o Akira usa phishing, credenciais comprometidas e ataques a serviços como RDP para acesso inicial. Essas táticas não dependem de falhas técnicas, mas de erros humanos, como cliques em e-mails maliciosos. Além disso, uma quantidade considerável de vítimas não têm sistemas robustos de detecção (EDR/XDR) ou não monitoram atividades suspeitas, permitindo que o Akira opere por dias ou semanas antes de criptografar dados.
O nosso time de inteligência em cibersegurança pode auxiliar a sua empresa a se defender de ataques desse tipo com implementação de controles, processos bem definidos e com gestão de vulnerabilidades. CONHEÇA NOSSOS SERVIÇOS.
Se você estiver com uma emergência, nós podemos te ajudar:
Fale com um especialista da [ CYLO ]
No nosso próximo post falaremos um pouco sobre como identificar um grupo de Ransomware
