A Acronis Threat Research Unit (TRU) dissecou amostras recentes das famílias de ransomware Akira e Lynx, revelando aprimoramentos incrementais em seus modelos de ransomware como serviço (RaaS) e estratégias de dupla extorsão.
Ambos os grupos aproveitam credenciais roubadas, vulnerabilidades de VPN, reconhecimento, escalonamento de privilégios, evasão de defesa e exfiltração de dados para se infiltrar nos sistemas, visando principalmente pequenas e médias empresas (PMEs) com técnicas recicladas, mas sofisticadas.
O Akira, que surgiu em 2022 e subiu para os 10 principais operadores de ransomware em 2023 com 174 ataques, continuou seu ímpeto em 2024 com 315 vítimas conhecidas e persiste em 2025.
Sua base de código exibe semelhanças impressionantes com o código-fonte vazado do Conti, potencialmente indicando uma reformulação da marca ou adaptação por ex-afiliados da Wizard Spider.
O Lynx, que aparece em meados de 2024, espelha elementos do ransomware INC analisado pela TRU em 2023 e incorpora suspeitas de influências de código LockBit, sugerindo uma herança compartilhada por meio de aquisições de fóruns clandestinos.
Esses atores desativam o software de segurança, limpam cópias de sombra via WMI e Comandos do PowerShelle limpar logs de eventos para evitar a detecção e complicar a recuperação.
Uma peculiaridade notável nas amostras do Lynx é sua capacidade de imprimir notas de resgate diretamente em impressoras conectadas, adicionando uma dimensão física às suas táticas de extorsão.
Ameaça em evolução com Conti Roots
Os métodos de entrega da Akira evoluíram: inicialmente contando com phishing e exploits como Cisco CVE-2023-20269, ele mudou em 2024 para direcionar VPNs por meio de falhas como SonicWall Firewall CVE-2024-40766, permitindo desvios de firewall.
Até 2025, as operadoras favorecem credenciais de administrador roubadas ou compradas para acesso inicial, seguidas pela desativação de defesas e uso de ferramentas na lista de permissões para exfiltração remota e criptografia.
O arquivo PE de 64 bits analisado, compilado em C/C++ com ferramentas do Visual Studio e visto pela primeira vez no final de 2024, é iniciado no WinMain, registra carimbos de data/hora e processa argumentos de linha de comando como –encryption-path, –share-file e –encryption-percent para personalizar ataques.
Ele enumera processos locais por meio de WTSEnumerateProcesses, descriptografa scripts do PowerShell para excluir cópias de sombra usando CoSetProxyBlanket para autenticação e emprega interfaces COM/WMI de fastprox.dll e wbemprox.dll para controle de privilégios.
Os threads de criptografia são dimensionados com núcleos de CPU, ignorando unidades de rede se -localonly estiver definido e excluindo pastas como $Recycle.Bin ou extensões como .dll e .exe.
Os arquivos são criptografados com ChaCha20, parcial se especificado, anexando chaves criptografadas por RSA; os arquivos bloqueados acionam o Restart Manager para encerrar processos interferentes, excluindo o PID do malware.
Ataques de alto volume ao setor privado
A Lynx, com cerca de 145 vítimas, adota uma estratégia de alto volume focada em empresas privadas, incluindo um ataque relatado a uma afiliada da Chattanooga CBS.
Opera como RaaS, recrutando afiliados por meio de Fóruns russos com promessas de construtores Windows/Linux, armazenamento de dados e vazamento de acesso ao site.
A entrega geralmente começa com phishing, escalando para roubo de credenciais, movimento lateral e exploração de vulnerabilidades. Em 2025, ele desinstala o software de segurança detectado antes de exfiltrar os dados e implantar o criptografador.
De acordo com o relatório, O exemplo de PE de 32 bits suporta argumentos como –dir, –kill e –verbose para saída detalhada, montagem de unidades ocultas com SetVolumeMountPointW e encerramento de processos/serviços (por exemplo, sql, veeam) por meio de instantâneos ou Gerenciador de Reinicialização.
Ele redimensiona cópias de sombra para forçar a exclusão usando DeviceIoControl com IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE e, em seguida, gera threads (quadruplica a contagem de CPU) para iteração de arquivo, ignorando arquivos de tamanho zero ou nomes/extensões excluídos.
A criptografia emprega AES-CTR-128 com Curve25519-Donna para geração de chaves, hashing via SHA512 e fluxos baseados em XOR; ele acrescenta . LYNX, escreve notas de resgate decodificadas em Base64 com IDs de vítimas codificadas e até as envia para impressoras por meio de APIs Winspool enquanto configura papéis de parede da área de trabalho.
Ambas as famílias destacam os MSPs como alvos lucrativos, evidenciados pelos ataques de Akira à Hitachi Vantara e à Toppan Next Tech devido ao seu acesso às redes de clientes, ampliando o potencial de extorsão.
Os prazos de resgate de Akira variam, com vazamentos de dados observados em cinco dias, enquanto o Lynx enfatiza a não divulgação junto com a descriptografia. Detecção por segurança avançada como AcrO Onis destaca a necessidade de gerenciamento robusto de credenciais e correção de vulnerabilidades.
Indicadores de comprometimento (IoCs)
| Categoria | Tipo de indicador | Valor |
|---|---|---|
| Arquivos Akira | SHA256 | 88da2b1cee373d5f11949c1ade22af0badf16591a871978a9e02f70480e547b2 |
| Rede Akira | URL | https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion |
| Arquivos Lynx | SHA256 | 571f5de9dd0d509ed7e5242b9b7473c2b2cbb36ba64d38b32122a0a337d6cf8b |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça