Os ataques de ransomware são uma ameaça crescente à segurança cibernética global, impactando organizações de diferentes setores. De acordo com a Veeam Software, no primeiro semestre de 2024, cerca de 79% das empresas foram afetadas por pelo menos um ataque deste tipo. O relatório revela ainda que 33% das vítimas sofreram perda de dados, embora 97% das organizações tenham conseguido restaurar suas informações, muitas vezes após longos períodos de inatividade e altos custos. O ransomware continua a evoluir, e sua capacidade de causar danos profundos reforça a necessidade de estratégias eficazes de prevenção e resposta a incidentes.
Entre as ameaças mais recentes e notáveis, o ransomware Akira ganhou destaque. Esse ransomware surgiu em março de 2023, fazendo várias vítimas em organizações de diversos países.
Eles já acumularam cerca de 250 milhões de dólares, e acredita-se que tenham atacado cerca de 250 organizações. É uma das mais recentes ameaças cibernéticas que tem ganhado destaque no cenário global de segurança da informação. Mas o que você precisa saber sobre isso?
Como o Akira opera
O grupo utiliza métodos de engenharia social, como campanhas de spear phishing, e explora vulnerabilidades conhecidas como a CVE-2020-3259, e a CVE-2023-20269, que consiste em acessar VPNs que não possuem a autenticação multifatorial habilitada. Uma vez dentro do ambiente, ele implanta um processo de cifragem de arquivos, e os arquivos infectados têm sua extensão alterada para “.akira”
Uma característica do Akira é sua habilidade de desativar soluções de segurança, como antivírus e firewalls, através da utilização de scripts maliciosos. Além disso, ele costuma remover backups locais, tornando a recuperação de dados ainda mais desafiadora. Para maximizar o impacto, o ransomware pode se propagar lateralmente na rede, comprometendo várias máquinas e servidores.
Além da cifragem, o Akira adota uma técnica de dupla extorsão: além de exigir um resgate para descriptografar os dados, ele também rouba informações sensíveis e ameaça publicá-las caso o pagamento não seja efetuado. Isso aumenta a pressão sobre as vítimas, pois expõe riscos financeiros e de reputação. Esses dados são frequentemente publicados em sites na dark web para expor as vítimas e coagir o pagamento.
E de acordo com a nota de resgate que eles oferecem, após o pagamento, a vítima recebe um relatório de segurança que revela as vulnerabilidades que possuem e que permitiram a invasão ao sistema.
Impactos do Ransomware Akira nas organizações
- Interrupção Operacional: A cifragem dos arquivos pode paralisar sistemas inteiros, prejudicando operações essenciais e departamentos críticos, como financeiro e atendimento ao cliente.
- Danos à Reputação: A divulgação de dados confidenciais pode resultar em perda de confiança por parte de clientes e parceiros. Organizações que lidam com informações sensíveis, como empresas de saúde e financeiras, estão particularmente expostas a danos de longo prazo.
- Sanções Legais: A exposição de informações sensíveis pode resultar em sérias consequências legais e financeiras, como processos judiciais e multas regulatórias. Baseado na LGPD (Lei Geral de Proteção de Dados Pessoais) no Brasil.
Como se prevenir do Akira
- Atualização contínua de sistemas: Garantir que todos os softwares estejam atualizados e protegidos contra vulnerabilidades conhecidas. Aplicar patches de segurança regularmente é essencial.
- Educação e treinamento: Capacitar os funcionários para reconhecer e-mails de phishing e outras técnicas de engenharia social.
- Backup regular: Implementar uma estratégia de backup frequente e armazenar cópias em locais offline. Verificar periodicamente a integridade dos backups para garantir sua utilidade em emergências.
- Monitoramento de rede: Usar soluções de detecção e resposta a ameaças para identificar atividades suspeitas.
- Plano de resposta a incidentes: Desenvolver e testar um plano robusto para lidar com ataques de ransomware, minimizando os impactos.
- Autenticação forte: Implementar autenticação multifator em sistemas para dificultar o acesso não autorizado.
Ransomware Akira: conclusão
O ransomware representa uma ameaça significativa no ecossistema de cibersegurança. Investir em segurança da informação não é apenas uma questão de proteção de dados, mas também uma estratégia essencial para a continuidade dos negócios. Lembrando que não é recomendado pagar o resgate de um ransomware. Embora pagar possa parecer uma solução rápida para recuperar os dados, não garante que o criminoso vai realmente fornecer a chave de descriptografia ou que o ataque não vá acontecer novamente. Além disso, pagar incentiva a continuidade de atividades criminosas, notifique as autoridades competentes, como a polícia e organizações de segurança cibernética, para ajudar a rastrear os criminosos, e o mais importante: siga as boas práticas para evitar cair nesse e em outros tipos de ataques.
Por Dayane Souza, consultora de cibersegurança da Protiviti Brasil.
