top of page
Buscar

Ataque de Ransomware Akira à Indústria Aérea da América Latina

  • Foto do escritor: Diego Arantes
    Diego Arantes
  • 26 de set. de 2024
  • 2 min de leitura

O ataque de ransomware Akira contra uma companhia aérea na América Latina evidencia a crescente sofisticação das ameaças cibernéticas na região. O ransomware Akira, identificado em 2023 e operado como um Ransomware-as-a-Service (RaaS) pelo grupo de ameaças Storm-1567, é notório por utilizar táticas de dupla extorsão. Esse tipo de ataque envolve a exfiltração de dados críticos antes da execução do ransomware, o que coloca pressão adicional sobre as vítimas, uma vez que, além de terem seus sistemas paralisados, enfrentam a ameaça de divulgação pública dos dados roubados.

Cadeia de Ataque

O ataque ocorreu em duas fases distintas. Inicialmente, os invasores acessaram a rede da companhia aérea por meio de uma vulnerabilidade no servidor Veeam Backup & Replication (CVE-2023-27532) e estabeleceram persistência criando um usuário administrativo "backup". Em seguida, eles realizaram varreduras na rede usando ferramentas legítimas, como o Advanced IP Scanner, para mapear os sistemas internos da empresa. Após a exfiltração dos dados via WinSCP, os operadores implantaram o ransomware no ambiente comprometido.


Ferramentas e Táticas

Os invasores utilizaram ferramentas legítimas, uma prática conhecida como Living off the Land Binaries and Scripts (LOLBAS), além de explorarem vulnerabilidades em sistemas desatualizados. A exfiltração foi realizada com o uso do WinSCP, e a persistência foi assegurada pela instalação do software AnyDesk, que possibilitou o controle remoto dos dispositivos comprometidos. Em seguida, o ransomware Akira foi implantado para criptografar dados e sistemas críticos.



Recomendações

A mitigação de ataques semelhantes envolve práticas como:

  1. Manter os sistemas atualizados: Aplicar patches regularmente para evitar a exploração de vulnerabilidades conhecidas.

  2. Backup frequente: Garantir que os backups não sejam acessíveis diretamente da rede principal.

  3. Treinamento e conscientização: Capacitar colaboradores para detectar sinais de comprometimento e evitar armadilhas cibernéticas.

  4. Monitoramento de rede: Implementar ferramentas de monitoramento contínuo para identificar comportamentos anômalos.

A adesão a essas recomendações pode reduzir significativamente a probabilidade de sucesso de ataques de ransomware.

 
 
 

留言

Contate-nos

Obrigado(a)

Logo DMZ CAST
bottom of page