A nova operação de ransomware Akira vem lentamente construindo uma lista de vítimas à medida que invadem redes corporativas em todo o mundo, criptografam arquivos e exigem resgates de milhões de dólares.

Lançado em março de 2023, o Akira afirma já ter realizado ataques a dezesseis empresas. Essas empresas estão em vários setores, incluindo educação, finanças, imóveis, manufatura e consultoria. Embora outro ransomware chamado Akira tenha sido lançado em 2017, não se acredita que essas operações estejam relacionadas.

Ao criptografar arquivos, o ransomware criptografa os arquivos e anexa a extensão .akira ao nome do arquivo. Akira também usa a API do Windows Restart Manager para fechar processos ou desligar serviços do Windows que podem estar mantendo um arquivo aberto e impedindo a criptografia.

Cada pasta do computador conterá uma nota de resgate chamada akira_readme.txt que inclui informações sobre o que aconteceu com os arquivos da vítima e links para o site de vazamento de dados Akira e o site de negociação.

Como outras operações de ransomware, o Akira viola uma rede corporativa e se espalha lateralmente para outros dispositivos. Depois que os agentes de ameaças obtêm credenciais de administrador de domínio do Windows, eles implantam o ransomware em toda a rede.