Akira Ransomware

O Akira é uma nova variante de ransomware que foi identificada pela primeira vez na natureza no primeiro trimestre de 2023. Essa variante de malware ataca os sistemas Windows e Linux e usa o ChaCha2008 para negar aos usuários o acesso aos seus dados.

Solicite uma demo Saiba mais

Como funciona o Akira ransomware?

A variante do ransomware Akira é distribuída de várias maneiras. Alguns mecanismos de distribuição conhecidos incluem anexos de e-mail infectados e a exploração de vulnerabilidades no endpoint VPN. Depois que o ransomware Akira obtém acesso a um sistema, ele usa vários meios para ocultar sua presença. Por exemplo, o ransomware pode trabalhar contra soluções de segurança de endpoint e usar LOLBins - que "vivem da terra" usando a funcionalidade incorporada em um computador para executar ações maliciosas - para aumentar a complexidade da detecção e correção da infecção. O ransomware também é conhecido por roubar credenciais de um sistema ao despejar a memória do processo LSASS, fornecendo a ele acesso e privilégios adicionais no sistema comprometido.

Como o ransomware Conti V2, que vazou, o malware usa CryptGenRandom e ChaCha 2008 para criptografia de arquivos. Os arquivos criptografados podem ser identificados por um .akira anexada aos seus nomes de arquivos. O malware também exclui cópias de sombra dos arquivos, impedindo que eles sejam usados para recuperação de dados. Em alguns casos, o ransomware também foi observado realizando ataques somente de extorsão. Esses ataques pulam a etapa de criptografia de dados e, em vez disso, exfiltram os dados e exigem um resgate para não vendê-los ou vazá-los publicamente. Depois que o ransomware criptografa e/ou rouba os dados, ele exibe uma mensagem de resgate. Akira é conhecido por exigir grandes resgates, muitas vezes na casa das centenas de milhões de dólares.

Qual é o objetivo do Akira ransomware?

O grupo de ransomware Akira geralmente exige um grande resgate, portanto, seu principal alvo são as grandes empresas. Em geral, o ransomware tem como alvo empresas da América do Norte, Europa e Austrália.

Muitas vezes, o malware é distribuído como parte de uma campanha de ameaças direcionadas, aproveitando e-mails de phishing ou software vulnerável para infectar sistemas. Os setores-alvo comuns incluem educação, finanças, manufatura e o setor médico.

Como se proteger contra o Akira ransomware

As infecções pelo ransomware Akira podem ser onerosas para uma empresa em termos de diminuição da produtividade, perda de dados e custo de resgates e remediação. Algumas práticas recomendadas que as organizações podem implementar para reduzir o risco de um ataque bem-sucedido de ransomware incluem o seguinte:

  • Treinamento de conscientização sobre segurança cibernética: O Akira utiliza e-mails de phishing e credenciais comprometidas para distribuir seu malware. O treinamento de conscientização sobre segurança cibernética pode reduzir a exposição de uma organização a essas ameaças, ensinando aos funcionários as práticas recomendadas de segurança e como reconhecer técnicas comuns de ataque.
  • Soluções Anti-ransomware: A criptografia e a exfiltração de dados realizadas pelo ransomware são incomuns e um claro indicador de um ataque ao ransomware. As soluções antiransomware podem usar esses indicadores comportamentais e outros fatores para identificar, bloquear e corrigir infecções pelo Akira e outros ransomware.
  • Backups de dados: Crypto ransomware como o Akira foi projetado para forçar uma empresa a pagar um resgate, criptografando seus dados e exigindo o pagamento da chave de descriptografia. Os backups de dados permitem que uma empresa recupere dados criptografados sem pagar o pedido de resgate.
  • Gerenciamento de patches: O Akira geralmente explora a vulnerabilidade do software VPN para se infiltrar em um ambiente-alvo. A instalação imediata de patches e atualizações permite que a empresa encerre esses problemas de segurança de API antes que eles possam ser explorados pelo grupo ransomware.
  • Autenticação forte do usuário: A variante do Akira ransomware geralmente tem como alvo VPNs que não possuem Autenticação multifatorial (MFA), o que torna mais fácil para o invasor explorar credenciais comprometidas. A imposição do uso de MFA em sistemas corporativos aumenta a dificuldade para o grupo de ransomware infectar sistemas com seu malware.
  • Segmentação de rede: o site ransomware geralmente precisa se deslocar lateralmente em uma rede corporativa, desde o ponto inicial de infecção até um sistema com dados valiosos. A segmentação da rede torna esse movimento mais detectável e evitável antes que os dados confidenciais possam ser criptografados ou roubados.

Evite ataques de ransomware com Check Point

O ransomware surgiu como uma das principais ameaças à segurança cibernética corporativa e à segurança de dados. Os ataques modernos de ransomware não apenas ameaçam a perda de dados, mas também a violação de informações confidenciais de empresas e clientes.

O Akira, embora seja uma variante de ransomware relativamente nova, já provou ser uma das variantes de malware mais perigosas em operação. Ele usa várias técnicas para se ocultar nos sistemas infectados e combina criptografia de dados e extorsão em suas tentativas de forçar as empresas a pagar grandes resgates.

A prevenção de ataques de ransomware é essencial para a segurança cibernética e a capacidade de manter as operações de uma organização. O senhor pode explorar ainda mais a ransomware prevenção de ameaças conferindo o CISO's Guide to ransomware Prevention.

 

Check Point's Harmony Endpoint incorpora recursos robustos de prevenção de ransomware, bem como a capacidade de defender os sistemas de uma organização contra várias ameaças potenciais de segurança de endpoint. Para saber mais sobre os recursos do Harmony Endpointe descobrir como ele pode ajudar a proteger sua empresa contra o Akira e outras ameaças à segurança de endpoint, inscreva-se hoje mesmo para obter um demo gratuito.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK