Akira

O grupo de ransomware Akira assumiu a responsabilidade por uma violação de dados na BK Technologies, fabricante de dispositivos de comunicação sem fio, ocorrida em 20 de setembro de 2025. A empresa confirmou que um acesso não autorizado a seus sistemas foi realizado, resultando no roubo de 25 GB de dados, incluindo informações de funcionários, documentos contábeis e contratos confidenciais. Embora a Akira tenha listado a BK Technologies em seu site de vazamento de dados, a empresa ainda não confirmou a extensão dos dados comprometidos ou se pagará um resgate. O relatório da SEC indica que, após o incidente, alguns sistemas não críticos sofreram interrupções menores, mas a empresa acredita que o acesso não autorizado foi contido. Akira, que surgiu em março de 2023, já reivindicou 559 ataques de ransomware, afetando diversos setores, incluindo manufatura e saúde. O aumento de ataques a fabricantes nos EUA, como evidenciado por 50 incidentes confirmados em 2025, destaca a crescente ameaça de ransomware, que pode causar interrupções significativas nas operações e riscos de conformidade, especialmente em relação à LGPD no Brasil.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

Pesquisadores de segurança alertam que o ransomware Akira está explorando uma vulnerabilidade antiga no SSLVPN da SonicWall, afetando firewalls das gerações Gen5, Gen6 e Gen7 que ainda não foram atualizados. Essa falha de controle de acesso inadequado foi descoberta e corrigida há mais de um ano, mas muitas organizações ainda não aplicaram o patch necessário. Além de atacar firewalls desatualizados, o Akira também se aproveita de configurações padrão do grupo LDAP e do acesso público ao Virtual Office Portal da SonicWall. Isso permite que usuários sem as permissões adequadas acessem o SSLVPN. Os especialistas da Rapid7 recomendam que as empresas troquem senhas de todas as contas SonicWall, configurem corretamente as políticas de autenticação multifator (MFA) e restrinjam o acesso ao Virtual Office Portal apenas a redes internas confiáveis. O Akira tem se mostrado ativo nos últimos dois anos, com um foco agressivo em dispositivos de borda, o que representa um risco significativo para as organizações que não tomarem medidas imediatas.

O grupo de ransomware Akira tem intensificado seus ataques a dispositivos SonicWall, especialmente aqueles que utilizam a SSL VPN. A empresa de cibersegurança Rapid7 relatou um aumento nas intrusões envolvendo esses aparelhos, que se intensificaram após a reativação das atividades do grupo em julho de 2025. A SonicWall identificou que os ataques exploram uma vulnerabilidade de um ano (CVE-2024-40766, com pontuação CVSS de 9.3), onde senhas de usuários locais não foram redefinidas durante uma migração. A empresa recomenda que os clientes ativem o filtro de botnets e as políticas de bloqueio de contas para mitigar os riscos. Além disso, a SonicWall alertou sobre a configuração inadequada dos grupos de usuários padrão do LDAP, que pode permitir que contas comprometidas herdem permissões indevidas. O grupo Akira, que já afetou 967 vítimas desde sua criação em março de 2023, utiliza técnicas sofisticadas, como phishing e SEO, para disseminar malware e realizar operações de ransomware. As organizações são aconselhadas a rotacionar senhas, remover contas inativas e restringir o acesso ao portal Virtual Office. O Australian Cyber Security Centre também confirmou que o grupo está atacando organizações australianas vulneráveis através de dispositivos SonicWall.