SOC Prime Bias: Alto

24 Nov 2025 19:49
newspaper icon AttackIQ

Ransomware Akira: Resposta ao Aviso CISA AA24-109A

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Ransomware Akira: Resposta ao Aviso CISA AA24-109A
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Akira Ransomware: Resposta ao Aviso CISA AA24-109A RESUMO

O aviso perfila a operação de ransomware Akira, uma ameaça de Ransomware como Serviço (RaaS) que encripta os dados da vítima e os exfiltra antes da encriptação. Observado pela primeira vez em março de 2023, Akira rapidamente alcançou destaque e acredita-se compartilhar linhagem de código com a família de ransomware Conti. O documento detalha as táticas, técnicas e procedimentos do grupo, incluindo ataques de força bruta contra RDP, despejo de credenciais, e dependência de um portal de vazamento hospedado em TOR. As vítimas são tipicamente pressionadas a pagar por chaves de descriptografia ou pela promessa de exclusão dos dados roubados.

Investigação

Uma investigação coordenada pela CISA, o FBI, a NCSC-NL e vários parceiros europeus de aplicação da lei atualizou o perfil da ameaça Akira até novembro de 2025. As descobertas técnicas destacam a persistência por meio da criação de novas contas locais, amplo reconhecimento usando APIs nativas do Windows e o uso de utilitários de roubo de credenciais como Mimikatz, LaZagne e Rubeus. A criptografia de arquivos é implementada com o algoritmo ChaCha20, com chaves protegidas usando RSA-4096.

Mitigação do Ransomware Akira

As prioridades defensivas incluem o reforço de credenciais RDP fortes e únicas, monitoramento de criação incomum de contas e atividades de enumeração de privilégios, e bloqueio de ferramentas ofensivas comumente abusadas. As organizações devem manter backups regulares e testados, desativar serviços não essenciais e implantar controles baseados em host para evitar o despejo de memória do LSASS. Salvaguardas adicionais envolvem filtrar o tráfego TOR na borda da rede e rastrear a potencial exfiltração de dados para infraestrutura .onion.

Resposta

Quando se suspeita de atividade do Akira, isole imediatamente o host afetado, adquira imagens de memória e disco, e preserve todos os indicadores relevantes de comprometimento. Reponha credenciais expostas, remova contas não autorizadas e restaure sistemas a partir de backups confiáveis ​​e verificados. Uma revisão forense completa deve mapear os caminhos e pontos de pivô de movimento lateral, com os resultados relatados às autoridades competentes e parceiros de compartilhamento de informações.

mermaid graph TB %% Class Definitions classDef technique fill:#e6f5ff %% Nodes – Techniques tech_bruteforce[“<b>Técnica</b> – <b>T1110.004 Força Bruta – Enchimento de Credenciais</b><br/><b>Descrição</b>: Atacante tenta fazer login usando grandes quantidades de credenciais previamente comprometidas através de um serviço remoto.”] class tech_bruteforce technique tech_rdp[“<b>Técnica</b> – <b>T1021.001 Serviços Remotos: RDP</b><br/><b>Descrição</b>: Uso do Protocolo de Desktop Remoto para estabelecer uma sessão interativa remota.”] class tech_rdp technique tech_createacct[“<b>Técnica</b> – <b>T1136.001 Criar Conta: Conta Local</b><br/><b>Descrição</b>: Adversário cria uma nova conta de usuário local para persistência ou elevação de privilégios.”] class tech_createacct technique tech_localgroup[“<b>Técnica</b> – <b>T1069.001 Descoberta de Grupos de Permissão: Grupos Locais</b><br/><b>Descrição</b>: Enumera associações de grupos locais para identificar contas privilegiadas.”] class tech_localgroup technique tech_domaingroup[“<b>Técnica</b> – <b>T1069.002 Descoberta de Grupos de Permissão: Grupos de Domínio</b><br/><b>Descrição</b>: Enumera associações de grupos de domínio para localizar grupos privilegiados adicionais.”] class tech_domaingroup technique tech_processdisc[“<b>Técnica</b> – <b>T1057 Descoberta de Processo</b><br/><b>Descrição</b>: Usa utilitários como tasklist para listar processos em execução no host.”] class tech_processdisc technique tech_remotesysdisc[“<b>Técnica</b> – <b>T1018 Descoberta de Sistemas Remotos</b><br/><b>Descrição</b>: Identifica sistemas remotos, por exemplo, controladores de domínio, usando ferramentas como nltest.”] class tech_remotesysdisc technique tech_trustdisc[“<b>Técnica</b> – <b>T1482 Descoberta de Confiança de Domínio</b><br/><b>Descrição</b>: Consulta relações de domínio confiáveis usando nltest trusted_domains.”] class tech_trustdisc technique tech_kerberoast[“<b>Técnica</b> – <b>T1558.003 Kerberoasting</b><br/><b>Descrição</b>: Extrai tickets de serviço e os quebra offline, muitas vezes com ferramentas como Rubeus.”] class tech_kerberoast technique tech_lsassdump[“<b>Técnica</b> – <b>T1003.001 Despejo de Credenciais do SO</b><br/><b>Descrição</b>: Despeja a memória do LSASS via comsvcs.dll e Mimikatz para obter credenciais em texto puro.”] class tech_lsassdump technique tech_regdump[“<b>Técnica</b> – <b>T1003.002 Despejo do Registro</b><br/><b>Descrição</b>: Salva o hive de registro SYSTEM (por exemplo, usando reg save) para análise offline.”] class tech_regdump technique tech_wmiexec[“<b>Técnica</b> – <b>T1047 Instrumentação de Gerenciamento do Windows</b><br/><b>Descrição</b>: Executa comandos remotamente através do WMI, comumente usando utilitários como wmiexec.”] class tech_wmiexec technique tech_rdp_lateral[“<b>Técnica</b> – <b>T1021.001 Serviços Remotos: RDP (Lateral)</b><br/><b>Descrição</b>: Move-se lateralmente para hosts adicionais via conexões do Protocolo de Desktop Remoto.”] class tech_rdp_lateral technique tech_ssh[“<b>Técnica</b> – <b>T1021.004 Serviços Remotos: SSH</b><br/><b>Descrição</b>: Recua para Secure Shell para movimento lateral quando RDP não está disponível.”] class tech_ssh technique tech_sysinfo[“<b>Técnica</b> – <b>T1082 Descoberta de Informações do Sistema</b><br/><b>Descrição</b>: Reúne detalhes do sistema operacional e hardware usando comandos como GetSystemInfo.”] class tech_sysinfo technique tech_queryreg[“<b>Técnica</b> – <b>T1012 Consulta de Registro</b><br/><b>Descrição</b>: Lê valores de registro como MachineGUID para identificar exclusivamente o host.”] class tech_queryreg technique tech_filedisc[“<b>Técnica</b> – <b>T1083 Descoberta de Arquivos e Diretórios</b><br/><b>Descrição</b>: Enumera arquivos e diretórios usando chamadas de API FindFirstFile/FindNextFile.”] class tech_filedisc technique tech_logdrive[“<b>Técnica</b> – <b>T1680 Descoberta de Unidade Lógica</b><br/><b>Descrição</b>: Recupera letras e tipos de unidade lógica via GetLogicalDriveStringsW e GetDriveTypeW.”] class tech_logdrive technique tech_permmod[“<b>Técnica</b> – <b>T1222.001 Modificação de Permissões de Arquivos e Diretórios</b><br/><b>Descrição</b>: Altera ACLs em arquivos ou diretórios usando icacls para permitir mais acesso.”] class tech_permmod technique tech_inhibitrec[“<b>Técnica</b> – <b>T1490 Inibição de Recuperação do Sistema</b><br/><b>Descrição</b>: Exclui Cópias de Sombra de Volume através do WMI para impedir a restauração.”] class tech_inhibitrec technique tech_encrypt[“<b>Técnica</b> – <b>T1486 Dados Criptografados para Impacto</b><br/><b>Descrição</b>: Criptografa dados da vítima usando criptografia simétrica ChaCha20 e RSA‑4096 para proteção de chave.”] class tech_encrypt technique %% Connections – Attack Flow tech_bruteforce u002du002d>|leads_to| tech_rdp tech_rdp u002du002d>|leads_to| tech_createacct tech_createacct u002du002d>|leads_to| tech_localgroup tech_localgroup u002du002d>|leads_to| tech_domaingroup tech_domaingroup u002du002d>|leads_to| tech_processdisc tech_processdisc u002du002d>|leads_to| tech_remotesysdisc tech_remotesysdisc u002du002d>|leads_to| tech_trustdisc tech_trustdisc u002du002d>|leads_to| tech_kerberoast tech_kerberoast u002du002d>|leads_to| tech_lsassdump tech_lsassdump u002du002d>|leads_to| tech_regdump tech_regdump u002du002d>|leads_to| tech_wmiexec tech_wmiexec u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_ssh tech_ssh u002du002d>|leads_to| tech_sysinfo tech_sysinfo u002du002d>|leads_to| tech_queryreg tech_queryreg u002du002d>|leads_to| tech_filedisc tech_filedisc u002du002d>|leads_to| tech_logdrive tech_logdrive u002du002d>|leads_to| tech_permmod tech_permmod u002du002d>|leads_to| tech_inhibitrec tech_inhibitrec u002du002d>|leads_to| tech_encrypt

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check pré-voo de Referência & Telemetria deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente os TTPs identificados e geram a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:
    O operador de ransomware se prepara para criptografar um diretório de documentos do usuário. Primeiro, ele garante que os arquivos sejam totalmente acessíveis ao processo de ransomware concedendo A Todos controle total usando icacls.exe. Este é um passo clássico de “conceder‑acesso‑total antes de criptografar”, correspondendo à técnica MITRE T1222.001. O invasor executa o comando a partir de um contexto de baixo privilégio, mas depende do fato de que icacls.exe pode modificar ACLs se o processo tiver permissões suficientes (por exemplo, executando como SYSTEM via uma tarefa agendada).

    # Caminho para o diretório de destino
$target = "C:UsersPublicDocumentsSensitiveData"

# Conceda controle total a Todos recursivamente
icacls.exe "$target*" /grant *S-1-1-0:F /T /C

    O comando acima cria um evento Sysmon ProcessCreate onde Imagem termina com icacls.exe, satisfazendo a regra de detecção.

  • Script de Teste de Regressão:

    # ---------------------------------------------------------------
# Teste de Regressão – Modificação de Permissão Icacls (T1222.001)
# ---------------------------------------------------------------
# Crie um diretório de teste temporário
$testDir = "$env:TEMPIcaclsTest"
New-Item -Path $testDir -ItemType Directory -Force | Out-Null

# Popular com arquivos fictícios
1..5 | ForEach-Object {
    New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null
}

# Execute icacls para conceder a Todos controle total (isso deve disparar a regra)
icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C

# Pausa para permitir a ingestão de SIEM
Start-Sleep -Seconds 10

# Fim do script

  • Comandos de Limpeza:

    # ---------------------------------------------------------------
# Limpeza – Remova alterações de teste de ACL e exclua dados de teste
# ---------------------------------------------------------------
$testDir = "$env:TEMPIcaclsTest"

# Redefinir permissões para os padrões (remover a concessão a Todos)
icacls.exe "$testDir*" /reset /T /C

# Exclua o diretório de teste
Remove-Item -Path $testDir -Recurse -Force

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente