O grupo responsável pelo ransomware Akira já acumulou mais de US$ 244 milhões em pagamentos obtidos por meio de ataques bem-sucedidos desde março de 2023. A campanha tem se intensificado globalmente, com foco em setores considerados críticos e operacionais, usando métodos cada vez mais ágeis e destrutivos. Os operadores do Akira realizam uma combinação de exfiltração de dados e criptografia, o que força as vítimas a pagarem o resgate mesmo que backups estejam disponíveis.
Em algumas ocorrências recentes, a exfiltração completa dos dados foi realizada em menos de três horas após o comprometimento inicial do ambiente. Entre os principais vetores de ataque estão credenciais de VPN comprometidas, acesso remoto mal configurado e exploração de falhas conhecidas em dispositivos de rede. Um dos casos mais citados envolveu a vulnerabilidade CVE-2024-40766, associada ao SonicWall, utilizada como porta de entrada para movimentação lateral e comprometimento de sistemas. Os alvos incluem organizações de médio e grande porte nos setores de saúde, manufatura, tecnologia, educação, finanças e agronegócio, com impacto registrado na América do Norte, Europa e região Ásia-Pacífico.
A diversificação geográfica e setorial mostra a capacidade do grupo de adaptar suas operações a diferentes estruturas e ambientes. Após o acesso inicial, os atacantes desativam soluções de segurança, extraem dados sensíveis, comprometem ambientes de backup e, por fim, criptografam os arquivos. Além da perda de dados, muitas vítimas relatam impactos operacionais severos, incluindo indisponibilidade de sistemas e prejuízos financeiros consideráveis. A recomendação dos órgãos de segurança é reforçar a proteção de acesso remoto com autenticação multifator resistente a phishing, restringir o uso de VPNs expostas à internet, segmentar redes internas e manter backups isolados e testados. Também é fundamental implementar monitoramento contínuo e políticas rígidas de controle de acesso. Apesar do valor declarado já ser expressivo, especialistas acreditam que os números reais podem ser ainda maiores, já que muitos incidentes não são divulgados publicamente. A atuação silenciosa e o uso de negociação direta com as vítimas dificultam o rastreamento total dos danos.
