Akira

APT / EstatalG1024
Técnicas (MITRE ATT&CK)17
FonteMITRE ATT&CK
Também conhecido como:GOLD SAHARAPUNK SPIDERHowling Scorpius

Análise Vexday

Akira é uma entidade de implantação de ransomware ativa desde pelo menos março de 2023, rastreada pelo MITRE ATT&CK sob o identificador G1024 e também conhecida pelos nomes GOLD SAHARA, PUNK SPIDER e Howling Scorpius. O grupo utiliza credenciais comprometidas para acessar mecanismos de acesso externo com fator único de autenticação, como VPNs, e emprega ferramentas publicamente disponíveis para movimentação lateral nos ambientes comprometidos. Suas operações seguem o modelo de "dupla extorsão", no qual dados são exfiltrados antes da criptografia e a publicação dos arquivos é ameaçada caso o resgate não seja pago; variantes do ransomware são capazes de atingir sistemas Windows e hipervisores VMware ESXi. Com 17 técnicas documentadas no MITRE ATT&CK e 19 vítimas identificadas no Brasil, o grupo representa uma ameaça concreta ao ambiente corporativo brasileiro.

Técnicas (MITRE ATT&CK) 17

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Execução
PowerShell
Persistência
External Remote Services
Acesso a credenciais
Steal or Forge Kerberos Tickets
Descoberta
Remote System DiscoveryDomain Trust Discovery
Movimento lateral
Remote Desktop Protocol
Coleta
SharepointArchive via Utility
Comando e controle
Remote Access Tools
Exfiltração
Exfiltration to Cloud Storage
Impacto
Data Encrypted for ImpactAccount Access RemovalFinancial Theft
defense-impairment
Disable or Modify Tools
stealth
Binary PaddingMatch Legitimate Resource Name or LocationValid Accounts

Vulnerabilidades exploradas

Nenhuma CVE atribuída a este grupo nas fontes públicas (MITRE ATT&CK). Ausência de atribuição não significa ausência de atividade.

O grupo Akira usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →