O cenário do ransomware em 2026 está sendo ditado por três grupos em especial: Qilin, The Gentlemen e Akira. Até o momento, segundo o site especializado ransomware.live, juntos eles somam quase 900 vítimas no ano.

ransomware-akira-crecimiento-2026-fbi-2
Imagem 1. Estatísticas do site ransomware.live, com o ranking dos grupos de ransomware mais ativos em 2026.

A presença do ransomware Akira nesse ranking não surpreende: ativo desde março de 2023, em 2026 registrou um forte aumento em sua atividade e, atualmente, está sob a atenção dos principais órgãos de cibersegurança do mundo. Em termos concretos, acumulou quase 200 vítimas apenas no primeiro trimestre deste ano.

A seguir, analisamos como o ransomware Akira age, sua relação com o grupo Conti, já extinto, quais setores ele ataca, quais países a ameaça já afetou, por que os principais órgãos de cibersegurança estão em alerta e como as empresas podem evitar se tornar uma de suas vítimas.

Raio-x do grupo ransomware Akira

Akira é um ransomware as a service (RaaS) cuja primeira aparição ocorreu em março de 2023. Desde então, não apenas cresceu em volume, mas também em sofisticação.

De acordo com seu modelo de afiliados, os cibercriminosos por trás do Akira desenvolvem o malware e a infraestrutura, enquanto diferentes grupos executam os ataques e dividem os lucros. Embora inicialmente focado no Windows, os cibercriminosos passaram a contar também com uma variante para Linux voltada a máquinas virtuais.

Entre os setores preferenciais de seus ataques, destacam-se manufatura, educação, saúde, tecnologia da informação, serviços profissionais, finanças e alimentação.

No aspecto geográfico, os Estados Unidos concentram a maior parte das vítimas. O grupo também registra atividade em países como Canadá, Alemanha, Índia, China e Austrália, entre muitos outros.

Na América Latina, a ameaça ataca países como Brasil (o mais afetado), México, Nicarágua, Argentina, Peru, Equador, Colômbia, Venezuela, Panamá, Chile, Uruguai e Guatemala.

ransomware-akira-crecimiento-2026-fbi-3
Imagem 2. Mapa compartilhado pelo site ransomware.live indicando as regiões onde o Akira atua.

Akira e sua relação com o ransomware Conti

Um ponto que não deve passar despercebido é o possível vínculo entre o Akira e o já extinto grupo Conti. O fim das operações desse grupo ocorreu em meados de 2022, e o surgimento do Akira aconteceu menos de um ano depois, em março de 2023. Além da coincidência de datas e da possível migração de afiliados, há outros indícios que sugerem uma conexão entre eles.

Um relatório publicado pelo Centro de Coordenação de Cibersegurança do Setor de Saúde, vinculado ao Departamento de Saúde e Serviços Humanos dos Estados Unidos, em fevereiro de 2024, afirma que "há pesquisas que sugerem que o Akira possui vínculos com o grupo de ransomware Conti, atualmente encerrado".

O documento aponta como evidências técnicas as semelhanças na abordagem de exploração, na seleção de tipos de arquivos e diretórios como alvos, nos algoritmos de criptografia utilizados, nos endereços de pagamento de resgate e nas funcionalidades gerais do malware.

Como o ransomware Akira realiza seus ataques

Os ataques do ransomware Akira geralmente começam com a exploração de um acesso remoto mal protegido. O cenário mais comum é uma VPN exposta à internet sem autenticação multifator. Em outros casos, o acesso é obtido por meio da exploração de vulnerabilidades conhecidas sem correção ou pelo uso de credenciais compradas em fóruns clandestinos ou previamente roubadas.

Uma vez dentro do ambiente, os cibercriminosos buscam garantir a persistência, o que pode envolver a criação de novas contas, a adição de chaves ou a alteração de configurações de acesso remoto e analisam a rede, os servidores existentes e o nível de privilégio da conta comprometida.

Em seguida, tentam obter controle total do ambiente explorando senhas fracas, credenciais reutilizadas ou hashes acessíveis na memória. Se a rede estiver mal segmentada, esse avanço ocorre rapidamente. Com privilégios elevados, movimentam-se lateralmente para localizar dados sensíveis e identificar sistemas críticos para a operação, maximizando o impacto do ataque.

Antes da criptografia, o Akira realiza a exfiltração de dados, contratos confidenciais, bases de dados, e-mails e informações de clientes. Esse passo é crucial: mesmo que a vítima possua backups, o grupo mantém poder de negociação ao ameaçar tornar os dados públicos.

Na fase final, os arquivos recebem extensões como .akira e uma nota de resgate é exibida nos sistemas comprometidos. O impacto operacional costuma ser imediato, com sistemas indisponíveis e operações interrompidas. A nota oferece opções como o fornecimento da ferramenta de descriptografia, a não divulgação dos dados ou ambos. Caso o pagamento seja realizado, a vítima geralmente recebe o utilitário de descriptografia; caso contrário, os dados tendem a ser divulgados publicamente.

ransomware-akira-crecimiento-2026-fbi
Imagem 3. Exemplo de como o Akira publica os ataques em seu site. Fonte: X, usuário @FalconFeedsio.

O alerta do FBI e de outros organismos ao redor do mundo

A evolução do ransomware Akira, que já acumula mais de 1.500 vítimas, levou diversos órgãos de cibersegurança a emitirem um alerta conjunto sobre a ameaça.

O FBI, a Cybersecurity and Infrastructure Security Agency (CISA), o Centro Europeu de Cibercrime da Europol e a agência francesa de combate ao cibercrime, entre outras entidades, publicaram um comunicado detalhando indicadores de comprometimento e as táticas, técnicas e procedimentos associados ao grupo.

"Embora o Akira ataque principalmente pequenas e médias empresas, também já afetou organizações de maior porte em diversos setores", destaca o comunicado. O documento acrescenta que, até o final de setembro de 2025, o grupo havia arrecadado aproximadamente 244 milhões de dólares em pagamentos de resgate (cerca de R$ 1,2 bilhão, considerando a cotação atual).

Como se proteger do ransomware Akira

As instituições responsáveis pelo alerta recomendam um conjunto de medidas práticas para reduzir a probabilidade e o impacto de um ataque:

  • Manter sistemas operacionais e softwares sempre atualizados, com atenção especial às correções de vulnerabilidades conhecidas exploradas pelo grupo.
  • Implementar autenticação multifator em todos os serviços possíveis, priorizando e-mail, VPN e contas com acesso a sistemas críticos.
  • Utilizar senhas únicas e longas, com pelo menos 15 caracteres, evitando políticas de troca frequente que possam comprometer a segurança.
  • Configurar bloqueio de contas após múltiplas tentativas de login malsucedidas.
  • Manter backups de dados off-line, testando e revisando regularmente os processos de backup e restauração.
  • Segmentar a rede para dificultar a propagação do ransomware.
  • Registrar e monitorar todo o tráfego de rede, incluindo movimentação lateral.
  • Filtrar o tráfego de rede para impedir acessos remotos a partir de origens desconhecidas ou suspeitas.
  • Manter soluções de segurança atualizadas em todos os dispositivos.
  • Incluir avisos em e-mails externos e desabilitar links em mensagens recebidas.
  • Garantir que os dados de backup estejam criptografados, evitando alterações ou exclusões indevidas.