Por Ismael Rocha, Ícaro Cesar e Bryenne Soares: Com o avanço de grupos cibercriminosos cada vez mais estruturados, como o responsável pelo ransomware Akira, entender como essas ameaças operam se tornou essencial para empresas que buscam proteger seus dados e garantir a continuidade das operações.

Neste artigo, você vai explorar o funcionamento do Akira sob três perspectivas fundamentais — estratégica, tática e operacional — compreendendo desde o modelo de negócio por trás da ameaça até as técnicas utilizadas para explorar vulnerabilidades, aplicar dupla extorsão e dificultar a resposta das vítimas.

Mais do que uma ameaça pontual, o Akira revela padrões e práticas que ajudam a antecipar riscos e reforçar a defesa cibernética corporativa com inteligência e foco.

Continue a leitura e descubra o que torna o Akira tão perigoso — e como se preparar para enfrentá-lo!

Sobre o Ransomware Akira

O número de ataques de ransomware continua crescendo em escala global, representando uma ameaça crítica à segurança corporativa. Entre 2024 e 2025, os ataques se tornaram mais frequentes, sofisticados e direcionados, com grupos cibercriminosos explorando vulnerabilidades inéditas para comprometer sistemas e extorquir organizações.

Nesse cenário, o ransomware Akira se destaca como uma das ameaças mais relevantes da atualidade. Desde sua aparição em 2023, o Akira tem evoluído rapidamente, mostrando alta capacidade de adaptação e expansão. O grupo inicialmente atacava sistemas Windows, mas hoje já compromete também ambientes Linux e servidores VMware ESXi, aumentando o alcance e a complexidade de suas operações.

Com o desenvolvimento de variantes específicas — como o Megazord, escrito em Rust, e a Akira_v2, voltada à criptografia de arquivos críticos — o grupo por trás do Akira reforça sua estratégia de diversificar alvos, linguagens de programação e métodos de ataque. A versão lançada em outubro de 2024 para servidores ESXi evidencia o foco em infraestruturas corporativas críticas, tornando o ransomware Akira uma ameaça cada vez mais difícil de conter.

Como o ransomware Akira aplica dupla extorsão e afeta setores estratégicos em diversos países

O grupo cibercriminoso Akira tem como principal motivação o ganho financeiro, obtido por meio de resgates exigidos após ataques altamente direcionados. Para pressionar suas vítimas, o grupo utiliza uma abordagem de dupla extorsão:

• Primeiro, realiza a exfiltração de dados sensíveis da empresa.
• Em seguida, aplica a criptografia dos sistemas e bloqueia o acesso aos arquivos.
• Se o pagamento não é feito, os dados roubados são vazados na dark web, ampliando os danos financeiros, reputacionais e legais.

As operações do Akira são estruturadas, com controle centralizado das negociações e valores ajustados ao perfil da vítima — um modelo profissional que aumenta a taxa de sucesso do grupo.

Setores mais visados pelo ransomware Akira:

• Manufatura
• Tecnologia da Informação
• Educação
• Saúde
• Aviação
• Serviços financeiros
• Setores críticos de infraestrutura

Países mais afetados:

• Estados Unidos (principal foco das operações)
• Brasil
• França
• Canadá
• Austrália

Essa atuação global e focada em organizações de médio e grande porte evidencia a gravidade da ameaça e a necessidade de estratégias robustas de prevenção contra ransomware.

Impacto financeiro do ransomware Akira: resgates altos, paralisação e danos à reputação

Os ataques realizados pelo grupo Akira Ransomware têm provocado impactos financeiros significativos para as empresas afetadas. Além dos altos valores exigidos como resgate, a paralisação das operações pode causar grandes perdas de receita, aumento de despesas com recuperação de ambientes, contratação de consultorias especializadas e reforço da segurança da infraestrutura tecnológica.

Esses ataques também geram sérios riscos regulatórios e jurídicos, especialmente devido à exposição de dados sensíveis, que podem resultar em multas, processos e penalidades legais. Outro impacto importante é o dano reputacional, comprometendo a confiança de clientes, parceiros e investidores, com efeitos negativos duradouros.

Diante disso, o ransomware Akira representa uma ameaça direta à continuidade dos negócios e à saúde financeira das organizações. Para reduzir esses riscos, é fundamental adotar estratégias robustas de prevenção, resposta rápida e medidas proativas de segurança.

Modelo RaaS do ransomware Akira: estrutura descentralizada e atuação de afiliados

O grupo Akira Ransomware opera dentro de um modelo Ransomware-as-a-Service (RaaS), baseado em uma estrutura colaborativa e descentralizada. Esse modelo permite escalar os ataques a partir de uma divisão clara de funções: os operadores centrais desenvolvem e mantêm o ransomware, enquanto afiliados independentes são responsáveis pela intrusão inicial, exfiltração de dados e execução do ataque.

A monetização ocorre por meio da exigência de pagamentos em criptomoedas, com valores calculados de acordo com o porte da organização vítima e o volume de dados comprometidos. Esse formato transforma os afiliados em peças-chave da operação, permitindo que o Akira atue em larga escala, com eficiência e agilidade.

O modelo funciona como uma franquia cibercriminosa:

• Afiliados têm acesso a ferramentas personalizadas, payloads, infraestrutura de comunicação segura e portais de negociação.
• Em troca, repassam parte do valor dos resgates ao grupo central.
• O grupo Akira fornece suporte técnico completo, incluindo kits de ferramentas, tutoriais sobre persistência e movimentação lateral, além de canais de comunicação direta para atualização de binários e resolução de problemas.

Além disso, o grupo centraliza o processo de negociação com as vítimas, garantindo uma abordagem mais controlada — tanto no aspecto técnico quanto psicológico — e maximizando as chances de pagamento.

Esse modelo escalável, lucrativo e bem estruturado é um dos principais motivos do sucesso do Akira no cenário global de ameaças cibernéticas.

A dupla extorsão é uma tática central nas campanhas do ransomware Akira. Primeiro, os dados sensíveis da organização são exfiltrados. Em seguida, os arquivos locais são criptografados, impedindo o acesso aos sistemas comprometidos.

Caso a vítima se recuse a pagar o resgate, os dados roubados são publicados em um site de vazamento na dark web, hospedado na rede TOR. A página adota uma estética retrô, com visual semelhante a terminais de tela verde dos anos 1980 — um elemento marcante que reforça a identidade da operação e intensifica a pressão psicológica sobre as vítimas, conforme imagem abaixo:

Essa abordagem do ransomware Akira impõe uma forte pressão psicológica e operacional sobre as vítimas, ao combinar a interrupção dos serviços essenciais com o risco real de exposição de dados sensíveis. O vazamento dessas informações pode gerar danos reputacionais severos, além de prejuízos financeiros e consequências regulatórias, como multas e processos legais.

Arquitetura técnica do ransomware Akira: uso de C++ e desvio das winAPIs

O ransomware Akira foi desenvolvido em C++, o que o diferencia tecnicamente de muitas outras ameaças cibernéticas. Em vez de depender das tradicionais winAPIs — comuns em malwares escritos em C —, o Akira executa diversas funções utilizando as bibliotecas padrão do C++.

Um exemplo claro é a forma como o malware realiza a escrita das notas de ransomware: enquanto outros códigos maliciosos usam APIs como WriteFile ou CreateFile, o Akira utiliza a classe std::ofstream, da biblioteca padrão, para gerar seus arquivos de instruções às vítimas.

Esse padrão evidencia um nível mais sofisticado de desenvolvimento e dificulta a detecção por ferramentas que buscam chamadas de API específicas. A seguir, exploramos mais detalhes sobre a arquitetura técnica do Akira e suas implicações para a segurança cibernética.

Falta de presença de ofuscação

A ausência de ofuscação de strings em amostras do ransomware Akira representa uma falha operacional relevante por parte dos desenvolvedores. Essa característica permite uma análise mais direta do código malicioso, facilitando a identificação das capacidades e intenções do malware logo nas primeiras etapas da investigação.

Strings literais embutidas no binário expõem informações como:

• Nomes de APIs (indicando interações com arquivos, rede, processos e registro)
• URLs ou IPs de servidores de Comando e Controle (C2)
• Nomes de arquivos, como notas de resgate (akira_readme.txt)
• Mensagens de erro e comandos maliciosos
• Chaves de registro e links .onion da dark web

Na imagem abaixo, a execução do comando strings.exe filtrando pela palavra “akira” evidencia esses elementos de forma clara. A presença da string akira_readme.txt confirma o nome do arquivo de instruções deixado após a infecção, enquanto o conteúdo textual revela ameaças de venda ou vazamento de dados sensíveis, caracterizando a estratégia de dupla extorsão usada pelo grupo.

Essas strings não ofuscadas revelam não apenas a estrutura de comunicação do malware, mas também facilitam a atribuição e resposta rápida por parte de equipes de segurança.

Argumentos de linha de comando no ransomware Akira: controle avançado sobre a execução

O ransomware Akira possui um conjunto de argumentos de linha de comando que permitem personalizar e expandir seu comportamento durante a execução. Esses parâmetros oferecem maior flexibilidade aos operadores, possibilitando ataques direcionados, refinados e adaptáveis a diferentes ambientes corporativos.

Entre os principais argumentos utilizados pelo Akira, destacam-se:

• --encryption_path: define os diretórios ou arquivos que devem ser criptografados
• --share_file: aponta para uma lista de compartilhamentos de rede que serão alvo da criptografia
• --exclude: permite especificar caminhos a serem ignorados, protegendo arquivos ou pastas específicos

Outros parâmetros relevantes incluem:

• --localonly: restringe a criptografia apenas às unidades locais
• --encryption_percent: possibilita a criptografia intermitente, afetando apenas parte de cada arquivo e reduzindo a detecção

Abaixo, apresentamos a struct akira_args, identificada durante a análise técnica, que demonstra a estrutura interna de aceitação de argumentos no malware:

struct akira_args {
    wchar16 const --encryptionpath[0x12];
    wchar16 -p[0x2];
    wchar16 -s[0x2];
    wchar16 -l[0x2];
    wchar16 -n[0x2];
    wchar16 const --sharefile[0xd];
    wchar16 const -localonly[0xb];
    wchar16 const --encryptionpercent[0x15];
    wchar16 const --exclude[0xa];
};

Esses comandos tornam o ransomware Akira altamente configurável, permitindo que os operadores ajustem o impacto do ataque conforme a infraestrutura da vítima — o que contribui para sua eficácia e evasão.

Criptografia remota via argumento

Para viabilizar a criptografia remota de arquivos, o ransomware Akira utiliza a função da winAPI WNetGetConnectionW, do sistema operacional Windows. O objetivo é identificar o caminho de rede real associado a unidades mapeadas (como “Z:”) e convertê-las em caminhos UNC (por exemplo: \\servidor\compartilhamento).

Essa técnica permite que o malware acesse e criptografe arquivos armazenados em compartilhamentos de rede, mesmo quando eles estão montados como unidades locais no sistema da vítima.

Durante a execução, ao usar o argumento --share_file, o Akira coleta as unidades ou caminhos de compartilhamento especificados e, por meio da função WNetGetConnectionW, resolve os caminhos de rede reais. Dessa forma, o ransomware mapeia os diretórios remotos e os adiciona ao processo de criptografia distribuída.

Exemplo de chamada da API WNetGetConnectionW no contexto do Akira:

WNetGetConnectionW(drive_label, remote_name_unc, length);

Essa chamada retorna o caminho UNC completo do compartilhamento de rede, que é então incluído na rotina de criptografia de disco, ampliando o alcance e o impacto do ataque.

Algoritmo de desofuscação de strings no Ransomware Akira

O ransomware Akira implementa um algoritmo customizado de desofuscação de strings, utilizado para ocultar instruções sensíveis dentro do binário e dificultar a análise estática do malware.

O processo começa com a inicialização de um array de bytes, contendo a string ofuscada. Um loop percorre cada byte da sequência e realiza uma transformação matemática específica para decodificar seu valor real.

Durante a iteração:

1. Cada byte passa por uma subtração da constante 0x4E, é multiplicado por 10, e combinado com operações envolvendo 0x7F, usando módulo e adição para gerar um valor intermediário.
2. Esse valor é então inserido em uma segunda fórmula mais complexa, que gera o byte final decodificado.
3. O byte resultante substitui o original no array, e ao final do processo, a string desofuscada é reconstruída.

Essa abordagem reforça a evasão do ransomware frente a mecanismos automatizados de análise, já que as strings não estão visíveis diretamente no código-fonte ou no binário.

Abaixo, apresentamos a imagem do pseudocódigo dessa função de desofuscação personalizada.

Como o ransomware Akira utiliza PowerShell para exclusão de logs e evasão forense

Como parte de sua estratégia de evasão e persistência, o ransomware Akira implementa um mecanismo de exclusão de logs de eventos do Windows durante sua execução. A técnica consiste no uso de um script PowerShell one-liner, executado de forma oculta para apagar rastros e dificultar a análise forense.

A execução começa com a cópia da string "-ep bypass -Command" para um buffer de memória, nomeado na análise como psh_cmd. Essa operação é feita por uma função personalizada de cópia, referida como custom_mem_cpy_I.

Em seguida, o malware concatena o comando completo que será passado ao PowerShell:

Get-WinEvent -ListLog * |
where { $_.RecordCount } |
ForEach-Object -Process {
    [System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($_.LogName)
}

Esse comando localiza todos os logs com registros ativos no sistema e os limpa de forma automatizada.

A execução final ocorre por meio da função winAPI ShellExecuteW, que chama powershell.exe em modo oculto, passando o script como argumento. Isso garante a remoção silenciosa dos logs de eventos, apagando evidências da atividade maliciosa e dificultando o trabalho de resposta a incidentes.

Também utilizando CMDLets do PowerShell, o Akira exclui os Shadow Copies do sistema utilizando o seguinte script one-liner:

powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"

Como o ransomware Akira utiliza o algoritmo AES para criptografia em massa de arquivos

Uma das características mais avançadas do ransomware Akira é a implementação manual do algoritmo AES (Advanced Encryption Standard) para realizar a criptografia em massa dos arquivos do sistema comprometido. O AES é amplamente adotado por sua eficiência computacional e alto nível de segurança, especialmente quando utilizado com aceleração de hardware.

No caso do Akira, o malware aplica o AES como algoritmo de criptografia simétrica por blocos, seguindo um esquema híbrido. Durante a execução, uma chave AES única — de 128, 192 ou 256 bits — é gerada aleatoriamente por arquivo ou sessão, e utilizada para cifrar o conteúdo. Modos como CBC (Cipher Block Chaining), CTR (Counter) ou GCM (Galois/Counter Mode) podem ser empregados para garantir integridade e confidencialidade.

Esse tipo de criptografia customizada aumenta a resistência contra tentativas de recuperação e torna o Akira ainda mais perigoso e sofisticado do ponto de vista técnico.

Abaixo, é possível visualizar a presença das constantes do S-Box do AES, fundamentais para a etapa de expansão de chave, reforçando que o malware contém sua própria lógica de criptografia interna — sem depender de bibliotecas externas do sistema.

A S-Box (Substitution Box) é um dos componentes mais críticos do algoritmo AES (Advanced Encryption Standard) e também é amplamente utilizada pelo ransomware Akira em sua implementação manual de criptografia.

Durante o processo de cifragem, a S-Box é aplicada na etapa SubBytes, presente em cada rodada do AES. Sua principal função é introduzir não-linearidade na transformação dos dados, substituindo cada byte do estado interno por um novo valor, consultado em uma tabela fixa de substituição — conforme ilustrado na imagem acima.

Essa substituição não-linear é essencial para a segurança do AES, pois é a única operação não-linear em cada rodada, e garante resistência contra ataques de criptoanálise linear, dificultando a correlação entre a chave de criptografia, os dados originais e os dados cifrados.

Além disso, o ransomware Akira também utiliza a S-Box na etapa de expansão de chave (key expansion) — um processo interno do AES responsável por gerar múltiplas round keys de 128 bits a partir da chave mestra original. Esse processo é iterativo e envolve operações com as chamadas words de 4 bytes, garantindo que cada rodada do AES utilize uma chave distinta.

Abaixo, é possível observar a função implementada no Akira que aplica a S-Box durante a expansão de chaves, evidenciando o nível de sofisticação técnica da ameaça e sua independência de bibliotecas externas.

Abaixo, podemos ainda identificar uma constante da implementação da função de expansão de chave do AES.

Com base nos elementos identificados durante a análise técnica do ransomware Akira, é possível confirmar com precisão que o malware utiliza o algoritmo AES (Advanced Encryption Standard) para realizar a criptografia dos arquivos alvo.

A presença de constantes da S-Box, rotinas de expansão de chave e a estrutura de substituição não-linear observadas no código reforçam que o Akira implementa o AES como mecanismo principal de cifragem, aumentando sua efetividade e dificultando a recuperação dos dados comprometidos.

Megazord: a variante em Rust do ransomware Akira com foco em VMs e identidade temática

O ransomware Megazord surgiu entre agosto e setembro de 2023 como uma variante avançada escrita em Rust, diretamente associada à família de ransomware Akira. Essa nova versão chama atenção pela mudança na linguagem de programação (de C++ para Rust) e por características técnicas e temáticas que reforçam sua identidade.

Entre os principais diferenciais do ransomware Megazord, destacam-se:

• Uso de Rust como linguagem base, aumentando desempenho e dificultando engenharia reversa
• Criação da extensão .powerranges nos arquivos criptografados
• Exigência de um “Build ID” específico para execução
• Capacidade de encerrar máquinas virtuais Hyper-V antes da criptografia
• Suporte a múltiplos argumentos de linha de comando para personalizar o processo de cifragem

Além das capacidades técnicas, o tema inspirado na franquia Power Rangers é uma marca registrada da variante: o nome interno do projeto é “Megazord”, a nota de resgate é salva como powerranges.txt, e os arquivos afetados ganham a extensão .POWERRANGES.

Essa consistência temática — também presente em versões anteriores do Akira — sugere que o grupo mantém um mecanismo de marcação ou identidade operacional interna, que pode servir tanto para rastreabilidade quanto para padronização entre afiliados.

Nossa equipe de pesquisa considera o Megazord uma evolução técnica significativa dentro da operação Akira, especialmente pela adoção do Rust, linguagem moderna, segura e mais complexa de analisar. Essa mudança marca um ponto de inflexão no desenvolvimento das ferramentas do grupo, demonstrando maturidade e capacidade de adaptação tecnológica.

A seguir, apresentamos a análise detalhada de uma amostra do ransomware Megazord, coletada por nossa equipe de Threat Intelligence, o Heimdall.

Strings não ofuscadas no ransomware Megazord facilitam a análise de suas capacidades

Seguindo o mesmo padrão observado em seu predecessor, o ransomware Megazord também não implementa uma rotina de ofuscação de strings críticas. Essa ausência de proteção torna mais fácil identificar e entender suas capacidades durante a análise estática da amostra.

Esse comportamento é comum em ransomwares escritos em Rust, linguagem que, após a compilação, frequentemente deixa strings visíveis no binário — como nomes de arquivos, comandos e serviços afetados. Isso facilita a triagem e permite, logo nas primeiras etapas da análise, identificar:

• O nome da nota de resgate (powerranges.txt)
• Uma lista de serviços e processos que podem ser encerrados
• Comandos internos executados durante o fluxo do ransomware

Abaixo, é possível visualizar alguns desses elementos extraídos da amostra do Megazord, revelando sua estrutura interna e padrões operacionais mesmo sem engenharia reversa aprofundada.

Megazord utiliza Build ID como mecanismo de proteção e evasão de análise

Algumas famílias de ransomware avançado adotam mecanismos de proteção que exigem uma senha ou argumento específico de linha de comando para iniciar sua execução. Essa técnica funciona como uma camada de segurança operacional, dificultando a análise por pesquisadores e a execução automatizada em ambientes de sandbox.

O ransomware Megazord, variante escrita em Rust e ligada à operação Akira, implementa essa abordagem exigindo um parâmetro chamado Build ID. Sem o argumento correto, o malware não inicia seu fluxo malicioso, o que dificulta a execução não autorizada por ferramentas de análise e ambientes de detecção automática.

Esse recurso atua como uma barreira de anti-análise e também como um controle interno — permitindo que apenas operadores autorizados consigam ativar a amostra, mantendo o controle sobre o uso e a distribuição do ransomware.

Ao analisarmos o menu de ajuda (–help), somos capazes de observar que há várias flags de controle, inclusive a responsável pelo Build ID (–id).

Ao tentarmos utilizar qualquer texto como senha, nos é retornado a mensagem de erros descrita na imagem abaixo.

Apesar da exigência de um Build ID como mecanismo de controle e anti-análise, os desenvolvedores do ransomware Megazord não implementaram qualquer tipo de ofuscação para esse identificador. Essa falha permite que analistas de segurança identifiquem e compreendam a lógica por trás do algoritmo de validação do argumento --id, utilizado na linha de comando.

A visibilidade da string e da rotina de checagem no código facilita a engenharia reversa e possibilita a replicação do comportamento do malware em ambientes controlados — sem depender de tentativa e erro.

Essa característica evidencia um equilíbrio incompleto entre sofisticação técnica e proteção do código, oferecendo uma brecha valiosa para especialistas em análise de ameaças e cibersegurança forense.

Conforme observado na imagem acima, o ransomware Megazord realiza a verificação do Build ID por meio de uma estrutura condicional simples do tipo if/else. Essa checagem avalia se a string fornecida como argumento corresponde ao Build ID esperado, antes de prosseguir com a execução maliciosa.

O processo é direto: o código identifica a presença da string por meio de uma função de validação, que recebe como parâmetro um ponteiro para uma cadeia de caracteres em texto puro — ou seja, o Build ID correto está embutido diretamente no binário, sem ofuscação.

Essa simplicidade facilita a engenharia reversa e permite que analistas identifiquem o valor necessário para executar a amostra em ambiente controlado, tornando esse ponto do código um dos mais acessíveis para estudos técnicos e desenvolvimento de contramedidas.

Com o Build ID em mãos, é possível executar o Megazord da maneira correta. Abaixo, é possível observar o fluxo de criptografia sendo executado, e o conteúdo da Nota de Ransowmare do Megazord, identificada como powerranges.txt. Este mesmo padrão é também observado na extensão dos arquivos criptografados, que passam a ter a extensão .powerranges.

Com o Build ID correto em mãos, é possível executar o ransomware Megazord e observar seu fluxo de criptografia em tempo real. A amostra segue o padrão já identificado durante a análise, reforçando sua ligação com a operação Akira.

Durante a execução, o Megazord:

• Exibe o conteúdo da nota de resgate, identificada como powerranges.txt
• Aplica a extensão .powerranges a todos os arquivos criptografados
• Segue uma cadeia estruturada de comandos e processos de encriptação, conforme observado na análise técnica

Abaixo, é possível visualizar a etapa de criptografia ativa e o conteúdo original da nota de ransomware, reforçando a temática inspirada na franquia Power Rangers e o padrão operacional do grupo Akira.

Ao analisar cuidadosamente o conteúdo da nota de ransomware do Megazord, é possível identificar o uso dos mesmos domínios .onion utilizados pelo ransomware Akira para comunicação via dark web.

Essa reutilização de infraestrutura — especialmente de domínios Tor — é a evidência mais clara de que o Megazord faz parte diretamente da operação Akira, atuando como uma variante multiplataforma com base em Rust, mas ainda conectada ao mesmo grupo cibercriminoso.

A presença desses domínios exclusivos na ransom note powerranges.txt reforça não apenas a autoria, mas também o uso de infraestrutura de vazamento e negociação centralizada, característica comum em operações de Ransomware-as-a-Service (RaaS).

Ransomwares utilizam comandos do Windows para encerrar serviços e garantir criptografia completa

Ransomwares modernos, incluindo variantes como o Akira e o Megazord, frequentemente utilizam binários nativos do Windows, como taskkill.exe e net.exe (com o comando net stop), para encerrar processos e parar serviços críticos antes de iniciar o processo de criptografia de arquivos.

O principal objetivo dessa técnica é liberar bloqueios (locks) em arquivos que estão sendo utilizados por:

• Bancos de dados
• Servidores de e-mail
• Agentes de backup
• Softwares de segurança e antivírus

Além disso, os atacantes também desativam serviços essenciais para recuperação de dados, como o Volume Shadow Copy Service (VSS), impedindo a criação de cópias de segurança e dificultando a restauração pós-ataque.

Essas ações garantem acesso irrestrito aos dados e aumentam a taxa de sucesso da criptografia completa do sistema, reforçando a efetividade do ataque.

Abaixo, apresentamos um trecho da lista de serviços e processos que o ransomware tenta finalizar antes de executar a cifragem dos arquivos.

E a seguir, podemos observar uma etapa da construção do comando que será executado, com o objetivo de finalizar os serviços listados anteriormente.

Durante a preparação para a criptografia de arquivos, ransomwares como o Akira e o Megazord constroem comandos específicos para encerrar serviços críticos do Windows. O padrão mais comum segue o formato:

cmd.exe /c net stop <nome-do-serviço>

Esse comando permite que o malware utilize o interpretador de comandos do Windows (cmd.exe) para executar o net stop, encerrando serviços relacionados a backups, bancos de dados, e ferramentas de segurança. O objetivo é liberar recursos e impedir mecanismos de recuperação antes do início da cifragem dos dados.

Utilizando o mesmo padrão, o Megazord implementa uma lista de processos que deverão ser finalizados (se estiverem em execução) antes do processo de criptografia dos arquivos.

E seguindo o mesmo padrão, a seguir podemos observar a construção do comando que será utilizado para a execução da finalização dos processos listados anteriormente.

Além de encerrar serviços via net stop, ransomwares como o Akira e o Megazord também utilizam o comando taskkill para forçar o encerramento de processos específicos que possam bloquear arquivos ou interferir na criptografia.

O comando construído segue o seguinte padrão:

cmd.exe /c taskkill /f /im <nome-do-processo>

Megazord utiliza APIs nativas do Windows para escrita da nota de ransomware, mesmo sendo desenvolvido em Rust

Diferente da versão original do ransomware Akira, que foi desenvolvida em C++ e utilizava amplamente bibliotecas nativas para execução de suas funcionalidades — incluindo a escrita da nota de ransomware —, a variante Megazord, embora escrita em Rust, segue um caminho semelhante ao optar por usar APIs nativas do Windows, em vez das bibliotecas padrão da linguagem.

Ao invés de utilizar funções como std::io ou std::fs, típicas de aplicações em Rust, o ransomware Megazord implementa o fluxo clássico de escrita de arquivos no Windows:

GetFullPathNameW → CreateFileW → NtWriteFile

Esse fluxo demonstra que, apesar da mudança de linguagem, o grupo responsável pela operação manteve o foco em interações diretas com a API do sistema operacional, garantindo maior controle sobre os recursos do Windows e maior semelhança comportamental com ransomwares desenvolvidos em linguagens mais tradicionais.

Essa escolha também sugere um grau elevado de intencionalidade e domínio técnico, permitindo ao Megazord manter a performance, compatibilidade e eficácia que já eram características marcantes do Akira original.

Abaixo, podemos observar a implementação deste fluxo no código do Megazord.

Vulnerabilidades exploradas pelo ransomware Akira reforçam a necessidade de correções e mitigação proativa

Durante a elaboração deste artigo, foi possível identificar que os operadores do ransomware Akira têm explorado ativamente uma série de vulnerabilidades conhecidas para realizar seus ataques. Essas falhas de segurança, listadas abaixo, são utilizadas estrategicamente para comprometer sistemas vulneráveis, exfiltrar dados sensíveis e aplicar a dupla extorsão contra as vítimas.

A exploração de vulnerabilidades demonstra uma abordagem altamente direcionada e sofisticada, típica de grupos cibercriminosos que acompanham falhas recém-divulgadas e se aproveitam da lentidão na aplicação de patches por parte das organizações.

Essa prática reforça a importância de:

• Manter sistemas e softwares sempre atualizados
• Implementar correções de segurança (patches) com agilidade
• Adotar soluções de detecção e resposta proativas
• Monitorar vulnerabilidades críticas em tempo real

Abaixo, listamos as vulnerabilidades exploradas pelo grupo Akira, de acordo com nossa equipe de Threat Intelligence, o Heimdall.

Vulnerabilidade	Produto Afetado	Tipo
CVE-2020-3259	Cisco ASA, Cisco FTD	Disclosure of Information
CVE-2023-20269	Cisco ASA, Cisco FTD	Disclosure of Information
CVE-2024-40711	Veeam Backup and Replication	Remote Code Execution
CVE-2024-40766	SonicWall SonicOS	Improper Access Control
CVE-2023-20263	Cisco HyperFlex HX Data Platform	Remote Code Execution
CVE-2023-48788	FortiClient EMS	Remote Code Execution
CVE-2023-27532	Veeam Backup & Replication	Disclosure of Information
CVE-2024-37085	VMware ESXi	Authentication Bypass
CVE-2019-6693	FortiOS	Remote Code Execution
CVE-2021-21972	VMware vCenter Server	Remote Code Execution
CVE-2022-40684	FortiOS	Authentication Bypass

Indicadores de Comprometimento (IoCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Comprometimento (IoCs) relacionadas a análise do(s) artefato(s) deste artigo.

Recomendações para manter seu negócio seguro

Além dos indicadores de comprometimento elencados acima pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

Mantenha sistemas e softwares atualizados

• Garanta que todos os sistemas operacionais, aplicativos e softwares de segurança estejam atualizados com os patches mais recentes. Isso corrige vulnerabilidades que podem ser exploradas por atacantes. ​

Implemente soluções de segurança confiáveis

• Utilize ferramentas de segurança robustas, como antivírus e firewalls, para detectar e bloquear ameaças potenciais. ​

Realize backups regulares

• Mantenha backups atualizados e armazenados em locais seguros, preferencialmente offline ou em ambientes isolados, para garantir a recuperação de dados sem necessidade de pagar resgates. ​

Eduque e treine funcionários

• Promova treinamentos regulares sobre segurança cibernética para que os colaboradores reconheçam e evitem e-mails de phishing e outras tentativas de ataque. ​

Restrinja privilégios de acesso

• Adote o princípio do menor privilégio, garantindo que usuários tenham apenas as permissões necessárias para suas funções, limitando o potencial de movimentação lateral de atacantes na rede. ​

Monitore e analise atividades da rede

• Implemente ferramentas de monitoramento para identificar atividades suspeitas ou não autorizadas, permitindo respostas rápidas a possíveis incidentes. ​

Desenvolva um plano de resposta a incidentes

• Estabeleça e teste regularmente um plano de resposta a incidentes específico para ataques de ransomware, assegurando que sua equipe saiba como agir rapidamente para conter ameaças e restaurar operações. ​

Utilize autenticação Multifator (MFA)

• Implemente MFA para adicionar uma camada extra de segurança, dificultando o acesso não autorizado, mesmo que credenciais sejam comprometidas. ​

Desative serviços e protocolos não utilizados

• Reduza a superfície de ataque desativando serviços e protocolos desnecessários que podem ser explorados por cibercriminosos. ​

Realize avaliações de vulnerabilidades

• Conduza avaliações regulares para identificar e corrigir pontos fracos em sua infraestrutura de TI antes que sejam explorados. ​

Referências

• Heimdall by ISH Tecnologia
• Purple Team by ISH Tecnologia
• MITRE ATT&CK
• CISA
• Ransomware.live