Akira, o ransomware que roubou US$ 42 milhões de mais de 250 organizações na América do Norte, Europa e Austrália em um ano, agora está ativamente mirando empresas em Singapura.

As autoridades de Singapura emitiram um aviso conjunto alertando as empresas locais sobre a ameaça crescente de uma variante do ransomware Akira.

Fonte: Agência de Segurança Cibernética de Singapura

O alerta vem após agências, incluindo a Agência de Segurança Cibernética de Singapura, a Força Policial de Singapura e a Comissão de Proteção de Dados Pessoais, terem recebido recentemente várias queixas de vítimas do ataque cibernético.

Principais alvos do ransomware Akira

Investigações anteriores conduzidas pelo Federal Bureau of Investigation dos Estados Unidos descobriram que o ransomware Akira tem como alvo empresas e entidades de infraestrutura crítica.

Mensagem de ransomware do Akira para vítimas após um sequestro bem-sucedido. Fonte: Polícia de Singapura

As autoridades de Singapura explicaram maneiras de detectar, deter e neutralizar ataques do Akira. As empresas que foram comprometidas são aconselhadas a não pagar resgate aos atacantes.

Abster-se de pagar resgate

Os membros do Akira exigem pagamentos em criptomoedas, como Bitcoin (BTC), para devolver o controle de seus sistemas de computador e dados internos. No entanto, as autoridades de Singapura pediram às empresas que não façam pagamentos:

“Se os sistemas da sua organização foram comprometidos com ransomware, não recomendamos o pagamento do resgate e aconselhamos a relatar o incidente imediatamente às autoridades. Pagar o resgate não garante que os dados serão descriptografados ou que os atores da ameaça não publicarão seus dados.”

Além disso, entidades mal-intencionadas podem tentar outro ataque na esperança de mais resgate. O FBI descobriu que o Akira nunca contata as vítimas e espera que elas entrem em contato.

Melhores práticas de segurança cibernética contra ataques de ransomware. Fonte: cisa.gov

Algumas técnicas recomendadas de mitigação de ameaças são implementar um plano de recuperação e autenticação multifator, filtrar o tráfego de rede, desativar portas e hiperlinks não utilizados e criptografia em todo o sistema.

Recentemente, a empresa de segurança cibernética Kaspersky descobriu que hackers norte-coreanos estavam mirando empresas de criptomoedas sul-coreanas usando malware Durian.

Fonte: Kaspersky

“Durian possui funcionalidade abrangente de backdoor, permitindo a execução de comandos entregues, downloads adicionais de arquivos e exfiltração de arquivos”, explicou a Kaspersky.

Além disso, a Kaspersky observou que o LazyLoad também foi usado pelo Andariel, um subgrupo dentro do consórcio de hackers norte-coreanos Lazarus Group — sugerindo uma conexão “tênue” entre Kimsuky e o grupo de hackers mais notório.