Ransomware Akira: Busca no Bing por OpManager Resulta em Ataque Devastador e Roubo de 75 GB de Dados

ransomware Akira

Um simples clique em um resultado de pesquisa aparentemente legítimo foi suficiente para desencadear um grave incidente de segurança cibernética. O caso recente envolvendo o ransomware Akira demonstra como técnicas avançadas de manipulação de resultados de busca continuam sendo uma ameaça significativa para empresas de todos os portes.

O ataque teve início quando um usuário pesquisou pelo software ManageEngine OpManager no Bing. Em vez de acessar o site oficial, a vítima foi direcionada para uma página fraudulenta cuidadosamente criada para imitar a plataforma legítima. O incidente reforça a importância da segurança da informação e da verificação constante de fontes antes de realizar downloads corporativos.

Como o ataque começou

Os criminosos utilizaram uma técnica conhecida como envenenamento de SEO (SEO Poisoning), que consiste em posicionar páginas maliciosas entre os primeiros resultados dos mecanismos de busca.

Ao procurar pelo ManageEngine OpManager, o usuário encontrou um domínio falso que reproduzia fielmente a aparência do site original. A página disponibilizava um arquivo MSI adulterado, apresentado como uma versão legítima do software.

O perigo do SEO Poisoning

O SEO Poisoning explora a confiança dos usuários nos mecanismos de busca. Como muitos profissionais acreditam que os primeiros resultados são seguros, acabam clicando em links maliciosos sem perceber.

Entre os principais riscos dessa técnica estão:

CaracterísticaSite LegítimoSite Malicioso
Certificado HTTPSSimFrequentemente sim
Aparência visualOficialQuase idêntica
Download do softwareOriginalModificado
ObjetivoFornecer serviçoInfectar sistemas
Risco para empresaBaixoExtremamente alto

O instalador falso escondia uma ameaça sofisticada

Após a execução do instalador fraudulento, os invasores adotaram uma estratégia para evitar suspeitas. O sistema recebeu uma cópia legítima do OpManager, fazendo o usuário acreditar que a instalação havia ocorrido normalmente.

Enquanto isso, processos maliciosos eram executados silenciosamente em segundo plano.

BumbleBee abriu caminho para a invasão

Um dos principais componentes instalados foi o BumbleBee, um malware amplamente utilizado por grupos especializados em ataques corporativos.

Sua função principal é atuar como uma porta de entrada para ferramentas adicionais utilizadas pelos criminosos.

Entre as atividades realizadas pelo BumbleBee estavam:

  • Estabelecimento de persistência no ambiente;
  • Comunicação com servidores controlados pelos invasores;
  • Download de novas cargas maliciosas;
  • Coleta de informações da infraestrutura;
  • Preparação para movimentação lateral na rede.

Essa etapa foi fundamental para o sucesso do ransomware Akira posteriormente.

Roubo de credenciais e comprometimento do Active Directory

Depois de obter acesso inicial ao ambiente, os criminosos iniciaram a fase de reconhecimento e coleta de dados.

O objetivo era identificar ativos críticos, usuários privilegiados e sistemas estratégicos para ampliar o impacto do ataque.

Dados corporativos foram exfiltrados

Os invasores conseguiram extrair credenciais importantes e acessar o banco de dados do Active Directory.

Além disso, mais de 75 GB de informações sensíveis foram copiados da organização.

Entre os dados potencialmente comprometidos estavam:

Tipo de InformaçãoImpacto Potencial
Credenciais de usuáriosAcesso não autorizado
Banco do Active DirectoryControle da infraestrutura
Informações corporativasVazamento de dados
Documentos internosEspionagem industrial
Configurações de redeFacilitação de novos ataques

Esse cenário evidencia a relevância da segurança da informação na proteção de identidades digitais e ativos corporativos.

Veeam também foi comprometido

Outro aspecto preocupante do incidente foi o acesso obtido pelos criminosos a credenciais relacionadas ao Veeam.

Soluções de backup costumam ser um dos principais alvos em ataques modernos de ransomware.

Por que os backups são visados?

Os grupos criminosos sabem que muitas empresas conseguem restaurar sistemas rapidamente quando possuem backups íntegros.

Por isso, antes de criptografar os arquivos, os invasores tentam:

Excluir backups

Eliminar cópias de segurança reduz drasticamente as chances de recuperação.

Roubar credenciais administrativas

O acesso privilegiado permite comprometer servidores de backup e repositórios críticos.

Desativar mecanismos de proteção

Ferramentas de monitoramento e recuperação podem ser neutralizadas antes da fase final do ataque.

Esse comportamento tornou-se comum em operações modernas de ransomware Akira e de outras famílias de ransomware corporativo.

Implantação do ransomware Akira

Após concluir a fase de reconhecimento, roubo de dados e escalonamento de privilégios, os criminosos partiram para a etapa mais destrutiva da operação.

A implantação do ransomware Akira ocorreu aproximadamente 44 horas após o clique inicial no resultado fraudulento do Bing.

Esse curto intervalo demonstra a velocidade com que grupos especializados conseguem comprometer ambientes empresariais.

Criptografia em larga escala

O malware foi distribuído pela rede corporativa e iniciou a criptografia de arquivos críticos.

Servidores, estações de trabalho e recursos compartilhados foram impactados.

Os prejuízos normalmente associados a ataques desse tipo incluem:

ConsequênciaImpacto
Paralisação operacionalMuito alto
Perda de produtividadeAlto
Custos de recuperaçãoElevado
Danos reputacionaisSignificativo
Possíveis multas regulatóriasAlto

Ataque continuou dias depois

Mesmo após a criptografia inicial, os invasores retornaram ao ambiente dois dias depois.

O objetivo foi ampliar o alcance do incidente e comprometer um domínio adicional da organização.

Esse comportamento demonstra que os atacantes mantinham acesso persistente à infraestrutura e continuavam explorando vulnerabilidades internas.

A capacidade de retornar ao ambiente após o ataque inicial é um forte indicativo de falhas nos mecanismos de monitoramento e resposta a incidentes.

Como evitar ataques semelhantes

Casos como este mostram que a segurança da informação deve envolver não apenas tecnologias de proteção, mas também conscientização dos usuários.

Algumas medidas essenciais incluem:

  • Verificar cuidadosamente URLs antes de realizar downloads;
  • Utilizar listas de bloqueio de domínios maliciosos;
  • Implementar autenticação multifator (MFA);
  • Monitorar acessos privilegiados;
  • Segmentar a rede corporativa;
  • Proteger servidores de backup;
  • Manter sistemas atualizados;
  • Treinar colaboradores sobre phishing e SEO Poisoning.

Conclusão

O incidente envolvendo o ransomware Akira demonstra como uma simples pesquisa na internet pode resultar em um comprometimento corporativo de grandes proporções. O uso de SEO Poisoning permitiu que criminosos distribuíssem um instalador adulterado do ManageEngine OpManager, iniciando uma cadeia de eventos que culminou no roubo de dados, comprometimento do Active Directory, acesso a sistemas de backup e criptografia de toda a rede.

À medida que os ataques se tornam mais sofisticados, investir em segurança da informação deixa de ser apenas uma recomendação e passa a ser uma necessidade estratégica para a continuidade dos negócios.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Compartilhe esse conteúdo em suas redes sociais

Luis Paulo

Me chamo Luis Paulo sou apaixonado por tecnologia e Inteligência Artificial, sou formado em Redes de Computadores pós graduado em Lei Geral de Proteção de Dados Pessoais (LGPD). Possuo varias certificação na área de tecnologia, compartilho ideias, curiosidade, conhecimentos e insigths do mundo digital. Para informações ao meu respeito acesse minha pagina do meu LinKedin.