Akira

APT / StateG1024
Techniques (MITRE ATT&CK)17
SourceMITRE ATT&CK
Also known as:GOLD SAHARAPUNK SPIDERHowling Scorpius

Vexday analysis

Akira é uma entidade de implantação de ransomware ativa desde pelo menos março de 2023, rastreada pelo MITRE ATT&CK sob o identificador G1024 e também conhecida pelos nomes GOLD SAHARA, PUNK SPIDER e Howling Scorpius. O grupo utiliza credenciais comprometidas para acessar mecanismos de acesso externo com fator único de autenticação, como VPNs, e emprega ferramentas publicamente disponíveis para movimentação lateral nos ambientes comprometidos. Suas operações seguem o modelo de "dupla extorsão", no qual dados são exfiltrados antes da criptografia e a publicação dos arquivos é ameaçada caso o resgate não seja pago; variantes do ransomware são capazes de atingir sistemas Windows e hipervisores VMware ESXi. Com 17 técnicas documentadas no MITRE ATT&CK e 19 vítimas identificadas no Brasil, o grupo representa uma ameaça concreta ao ambiente corporativo brasileiro.

Techniques (MITRE ATT&CK) 17

How the group operates, mapped to the MITRE ATT&CK matrix and organized by the phases of an attack.

Execution
PowerShell
Persistence
External Remote Services
Credential access
Steal or Forge Kerberos Tickets
Discovery
Remote System DiscoveryDomain Trust Discovery
Lateral movement
Remote Desktop Protocol
Collection
SharepointArchive via Utility
Command and control
Remote Access Tools
Exfiltration
Exfiltration to Cloud Storage
Impact
Data Encrypted for ImpactAccount Access RemovalFinancial Theft
defense-impairment
Disable or Modify Tools
stealth
Binary PaddingMatch Legitimate Resource Name or LocationValid Accounts

Exploited vulnerabilities

No CVEs attributed to this group in public sources (MITRE ATT&CK). Absence of attribution does not mean absence of activity.

Akira uses real techniques and exploits real flaws. TrueHacking's AI Autonomous Pentest simulates these attacks against your infrastructure and brings more security to your application.

Explore the AI Autonomous Pentest →