As agências governamentais dos EUA estão a emitir um novo alerta sobre o ransomware Akira, que continua a evoluir as suas táticas. Numa atualização recente a um aviso conjunto, a CISA (Agência de Cibersegurança e Segurança de Infraestruturas), o FBI e outros parceiros internacionais (incluindo o DC3 e o HHS) revelam que os operadores do Akira expandiram as suas capacidades.
O grupo está agora ativamente a encriptar máquinas virtuais (VMs) Nutanix AHV durante os seus ataques. O aviso foi atualizado com novas informações e táticas observadas em investigações recentes, datadas até novembro de 2025.
O novo alvo: Nutanix AHV
O aviso atualizado detalha que esta nova capacidade foi observada pela primeira vez num incidente ocorrido em junho de 2025. Nesse ataque, os intervenientes do Akira conseguiram encriptar ficheiros de disco de VMs Nutanix AHV, abusando de uma vulnerabilidade específica (CVE-2024-40766) num dispositivo SonicWall.
Esta é uma expansão notável, já que o grupo era anteriormente conhecido por focar-se principalmente em ambientes VMware ESXi e Hyper-V.
Como funcionam os ataques ao Nutanix
A plataforma AHV da Nutanix é uma solução de virtualização popular baseada em Linux, o que a torna um alvo lucrativo para os cibercriminosos. Os analistas de segurança já tinham notado que os encriptadores Linux do Akira visavam a extensão .qcow2 (o formato de disco virtual usado pelo Nutanix) desde, pelo menos, o final de 2024.
No entanto, a abordagem ao Nutanix AHV parece ser menos sofisticada do que os métodos usados contra o VMware ESXi. Enquanto no VMware os atacantes usam comandos como esxcli para desligar as VMs de forma controlada antes da encriptação, no Nutanix, limitam-se a encriptar diretamente os ficheiros .qcow2 sem usar as ferramentas nativas da plataforma (acli ou ncli) para as encerrar primeiro.
Táticas de intrusão e movimento lateral
O aviso conjunto detalha também os métodos de intrusão preferidos pelos afiliados do Akira. Para obter o acesso inicial, o grupo utiliza frequentemente credenciais de VPN ou SSH roubadas (ou obtidas por brute-force) em routers expostos, além da exploração da já mencionada falha na SonicWall.
Uma vez dentro da rede, um dos alvos prioritários são os servidores Veeam Backup & Replication. Os atacantes exploram vulnerabilidades conhecidas (CVE-2023-27532 ou CVE-2024-40711) para aceder e eliminar as cópias de segurança, dificultando a recuperação.
Para se moverem pela rede e garantirem persistência, os atacantes usam ferramentas legítimas como AnyDesk e LogMeIn, bem como utilitários de sistema (nltest, wmiexec.py, scripts VB). É comum tentarem remover ferramentas de deteção (EDR) e criarem novas contas de administrador. Numa das investigações, os atacantes chegaram a extrair o ficheiro NTDS.dit de um controlador de domínio para obter controlo total da rede.
Exfiltração rápida e recomendações
A velocidade é uma das armas do Akira: foi observado que conseguem exfiltrar dados em apenas duas horas após a intrusão. Para a comunicação (C2), dependem de ferramentas de tunneling como o Ngrok para contornar a monitorização do perímetro. O aviso nota ainda que a ferramenta "Megazord", anteriormente associada ao grupo, parece ter sido abandonada desde 2024.
A CISA e o FBI instam as organizações a rever as novas diretrizes no aviso oficial (AA24-109a). As recomendações principais continuam a ser a implementação rigorosa de autenticação multifator (MFA), a realização de cópias de segurança offline regulares e a aplicação atempada de patches para vulnerabilidades exploradas.
Nenhum comentário
Seja o primeiro!