Akira: o grupo de ransomware que somou mais de US$ 244 milhões em resgates e entrou na mira do FBI

Um novo predador digital que não para de crescer

Pouco mais de três anos após sua estreia no submundo cibercriminoso, o grupo Akira se consolidou como uma das ameaças de ransomware mais prolíficas da atualidade. Surgido em março de 2023 com um modelo de negócio baseado na franquia — o chamado Ransomware-as-a-Service (RaaS), em que desenvolvedores alugam a infraestrutura maliciosa para afiliados — o coletivo já acumula mais de 1.500 vítimas confirmadas em diferentes continentes e arrecadou aproximadamente 244 milhões de dólares em pagamentos de resgate até o fim de setembro de 2025, segundo dados compilados pelas autoridades norte-americanas. Em 2026, o ritmo não diminuiu: somente em março deste ano, o grupo registrou 84 novas vítimas em seu portal na dark web, e o primeiro trimestre encerrou com quase 200 casos documentados.

Como o Akira opera — e por que é tão difícil de conter

A eficácia do Akira deve muito à simplicidade brutal de suas táticas de entrada. Em vez de explorar falhas técnicas sofisticadas, o grupo aposta em portas abertas deixadas por descuido corporativo: conexões VPN sem autenticação multifator (MFA), credenciais vazadas em campanhas de phishing anteriores e vulnerabilidades conhecidas que muitas organizações simplesmente deixam de corrigir. Uma vez dentro da rede, os operadores conduzem um processo metódico — estabelecem persistência, mapeiam a infraestrutura interna, elevam privilégios, movem-se lateralmente entre sistemas e extraem dados sensíveis antes de disparar a criptografia, que marca os arquivos com a extensão ".akira". A dupla extorsão é a regra: pagar ou ver os dados publicados. O grupo opera versões do malware tanto para ambientes Windows quanto para sistemas Linux, com foco especial em máquinas virtuais — o que amplia consideravelmente o raio de destruição em data centers corporativos.

Raízes suspeitas e alvos preferidos

Pesquisadores de segurança identificaram indícios que ligam o Akira ao extinto grupo Conti, desativado em meados de 2022 após uma série de vazamentos internos. A semelhança nos algoritmos de criptografia, nas abordagens de exploração e na infraestrutura de cobrança de resgate sugere que parte da equipe do Conti simplesmente migrou para a nova operação. Em termos de setores, o Akira não demonstra preferências ideológicas: manufatura, educação, saúde, tecnologia da informação, serviços profissionais, finanças e produção de alimentos já figuraram entre as vítimas. Geograficamente, os Estados Unidos concentram o maior volume de ataques, mas a América Latina também está claramente no mapa — o Brasil é o país da região com maior número de incidentes registrados, seguido por México, Argentina e Colômbia.

FBI e CISA emitem alerta conjunto

A escalada das operações do grupo levou o FBI e a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) a publicarem um advisory conjunto — catalogado como AA24-109A — com orientações detalhadas para organizações que desejam reduzir a exposição ao Akira. As recomendações centrais incluem a adoção obrigatória de MFA em todos os acessos remotos, a aplicação rigorosa de patches em sistemas VPN e a segmentação de redes para limitar o movimento lateral em caso de invasão. Especialistas da ESET, que acompanham o grupo pela WeLiveSecurity, reforçam que o monitoramento contínuo de logs de acesso e a realização de backups offline testados regularmente são as defesas mais eficazes contra o modelo de dupla extorsão adotado pelo Akira.

O que esperar dos próximos meses

Com um modelo de negócio enxuto, afiliados motivados e uma cadência de ataques que só aumentou desde o início de 2026, o Akira não dá sinais de desaceleração. Para empresas de médio porte — o perfil preferencial do grupo — a mensagem das autoridades é direta: a questão não é se uma organização será alvo, mas quando. Investir em higiene básica de segurança, treinar equipes para identificar tentativas de phishing e manter planos de resposta a incidentes atualizados deixou de ser diferencial competitivo para se tornar requisito mínimo de sobrevivência digital.

Fonte: WeLiveSecurity (ESET) — "Akira ransomware: conheça o grupo que cresceu em 2026 e entrou na mira do FBI". Dados adicionais: CISA Advisory AA24-109A.