O grupo de cibercriminosos conhecido como Akira ransomware tem se consolidado como uma das principais ameaças ativas em 2025. De acordo com dados de segurança recentes, o grupo já atacou mais de 250 organizações em todo o mundo, arrecadando cerca de US$ 42 milhões em pagamentos de resgate desde o início de suas operações em março de 2023.
O Akira opera no modelo Ransomware-as-a-Service (RaaS), em que desenvolvedores disponibilizam o código malicioso para afiliados, que conduzem os ataques em troca de uma porcentagem dos lucros. Esse modelo tem permitido ao grupo expandir rapidamente seu alcance, afetando empresas de diversos setores, incluindo transporte, energia, varejo e tecnologia da informação. Os ataques seguem o padrão de “dupla extorsão”: primeiro, os criminosos exfiltram grandes volumes de dados sensíveis e, em seguida, criptografam os sistemas comprometidos. As vítimas são forçadas a pagar resgates tanto para restaurar seus arquivos quanto para evitar que suas informações sejam publicadas em fóruns da dark web. Entre as técnicas de invasão mais comuns, o grupo tem explorado vulnerabilidades conhecidas em firewalls, VPNs e sistemas de virtualização.
Uma das falhas mais usadas recentemente é a CVE-2024-40766, presente em dispositivos SonicWall, que continua sendo explorada mesmo após o lançamento de patches oficiais. Após obter acesso inicial, o Akira realiza movimentações laterais dentro da rede, rouba credenciais e implanta o ransomware em servidores Windows, Linux e ambientes ESXi. A sofisticação técnica e a capacidade de adaptar ferramentas tornam o grupo uma ameaça complexa para equipes de defesa. Especialistas em cibersegurança apontam que a demora na aplicação de atualizações e a ausência de autenticação multifator continuam sendo fatores determinantes para o sucesso dessas campanhas. Organizações com infraestrutura exposta à internet, especialmente via VPN, são alvos prioritários.
