Modern technology gives us many things.

Η έκδοση Linux του Akira ransomware στοχεύει διακομιστές VMware ESXi

Η λειτουργία Akira ransomware χρησιμοποιεί έναν κρυπτογράφηση Linux για την κρυπτογράφηση εικονικών μηχανών VMware ESXi σε επιθέσεις διπλού εκβιασμού εναντίον εταιρειών παγκοσμίως.

Το Akira εμφανίστηκε για πρώτη φορά τον Μάρτιο του 2023, στοχεύοντας συστήματα Windows σε διάφορους κλάδους, συμπεριλαμβανομένης της εκπαίδευσης, της χρηματοδότησης, της ακίνητης περιουσίας, της κατασκευής και της συμβουλευτικής.

Όπως και άλλες συμμορίες ransomware που στοχεύουν επιχειρήσεις, οι φορείς απειλών κλέβουν δεδομένα από παραβιασμένα δίκτυα και κρυπτογραφούν αρχεία για να κάνουν διπλό εκβιασμό στα θύματα, απαιτώντας πληρωμές που φτάνουν πολλά εκατομμύρια δολάρια.

Από τότε που κυκλοφόρησε, η επιχείρηση ransomware έχει προκαλέσει πάνω από 30 θύματα μόνο στις Ηνωμένες Πολιτείες, με δύο ξεχωριστές αιχμές δραστηριότητας στις ID Ransomware υποβολές στα τέλη Μαΐου και σήμερα.

Δραστηριότητα Akira τους τελευταίους μήνες
Δραστηριότητα Akira τους τελευταίους μήνες
Πηγή: BleepingComputer

Το Akira στοχεύει το VMware ESXi

Η έκδοση Linux του Akira ανακαλύφθηκε για πρώτη φορά από αναλυτή κακόβουλου λογισμικού rivitnaο οποίος μοιράστηκε ένα δείγμα του νέου κρυπτογραφητή στο VirusTotal Την προηγούμενη εβδομάδα.

Η ανάλυση του BleepingComputer για τον κρυπτογράφηση Linux δείχνει ότι έχει ένα όνομα έργου «Esxi_Build_Esxi6», υποδεικνύοντας ότι οι φορείς απειλής τον σχεδίασαν ειδικά για να στοχεύουν διακομιστές VMware ESXi.

Για παράδειγμα, ένα από τα αρχεία πηγαίου κώδικα του έργου είναι /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h.

Τα τελευταία χρόνια, οι συμμορίες ransomware έχουν δημιουργήσει ολοένα και περισσότερο προσαρμοσμένους κρυπτογραφητές Linux για την κρυπτογράφηση διακομιστών VMware ESXi καθώς η επιχείρηση μετακινήθηκε στη χρήση εικονικών μηχανών για διακομιστές για βελτιωμένη διαχείριση συσκευών και αποτελεσματική χρήση των πόρων.

Στοχεύοντας διακομιστές ESXi, ένας παράγοντας απειλής μπορεί να κρυπτογραφήσει πολλούς διακομιστές που εκτελούνται ως εικονικές μηχανές σε μία μόνο εκτέλεση του κρυπτογράφησης ransomware.

Ωστόσο, σε αντίθεση με άλλους κρυπτογραφητές VMware ESXi που αναλύονται από το BleepingComputer, οι κρυπτογραφητές του Akira δεν περιέχουν πολλές προηγμένες λειτουργίες, όπως ο αυτόματος τερματισμός λειτουργίας εικονικών μηχανών πριν από την κρυπτογράφηση αρχείων χρησιμοποιώντας την εντολή esxcli.

Με αυτά τα λόγια, το δυαδικό όντως υποστηρίζει μερικά ορίσματα γραμμής εντολών που επιτρέπουν σε έναν εισβολέα να προσαρμόσει τις επιθέσεις του:

  • -p –encryption_path (στοχευμένες διαδρομές αρχείου/φακέλου)
  • -s –share_file (στοχευμένη διαδρομή μονάδας δίσκου δικτύου)
  • – n –encryption_percent (ποσοστό κρυπτογράφησης)
  • –fork (δημιουργία θυγατρικής διαδικασίας για κρυπτογράφηση)

Η παράμετρος -n είναι ιδιαίτερα αξιοσημείωτη καθώς επιτρέπει στους εισβολείς να ορίσουν πόσα δεδομένα είναι κρυπτογραφημένα σε κάθε αρχείο.

Όσο χαμηλότερη είναι αυτή η ρύθμιση, τόσο πιο γρήγορη είναι η κρυπτογράφηση, αλλά τόσο πιο πιθανό είναι τα θύματα να ανακτήσουν τα αρχικά τους αρχεία χωρίς να πληρώσουν λύτρα.

Αρχεία κρυπτογραφημένα από τον Akira σε διακομιστή Linux
Αρχεία κρυπτογραφημένα από τον Akira σε διακομιστή Linux
Πηγή: BleepingComputer

Κατά την κρυπτογράφηση αρχείων, ο κρυπτογράφησης Linux Akira θα στοχεύσει τις ακόλουθες επεκτάσεις:

.4dd, .accdb, .accdc, .accde, .accdr, .accdt, .accft, .adb, .ade, .adf, .adp, .arc, .ora, .alf, .ask, .btr, .bdf, .cat, .cdb, .ckp, .cma, .cpd, .dacpac, .dad, .dadiagrams, .daschema, .db-shm, .db-wa, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx, .dcb, .dct, .dcx, .dlis, .dp1, .dqy, .dsk, .dsn, .dtsx, .eco, .ecx, .edb, .epim, .exb, .fcd, .fdb, .fic, .fmp, .fmp12, .fmps, .fp3, .fp4, .fp5, .fp7, .fpt, .frm, .gdb, .grdb, .gwi, .hdb, .his, .idb, .ihx, .itdb, .itw, .jet, .jtx, .kdb, .kexi, .kexic, .kexis, .lgc, .lwx, .maf, .maq, .mar, .mas, .mav, .mdb, .mdf, .mpd, .mrg, .mud, .mwb, .myd, .ndf, .nnt, .nrmlib, .ns2, .ns3, .ns4, .nsf, .nv2, .nwdb, .nyf, .odb, .oqy, .orx, .owc, .p96, .p97, .pan, .pdb, .pdm, .pnz, .qry, .qvd, .rbf, .rctd, .rod, .rodx, .rpd, .rsd, .sas7bdat, .sbf, .scx, .sdb, .sdc, .sdf, .sis, .spq, .sqlite, .sqlite3, .sqlitedb, .temx, .tmd, .tps, .trc, .trm, .udb, .usr, .v12, .vis, .vpd, .vvv, .wdb, .wmdb, .wrk, .xdb, .xld, .xmlff, .abcddb, .abs, .abx, .accdw, .adn, .db2, .fm5, .hjt, .icg, .icr, .lut, .maw, .mdn, .mdt, .vdi, .vhd, .vmdk, .pvm, .vmem, .vmsn, .vmsd, .nvram, .vmx, .raw, .qcow2, .subvo, .bin, .vsv, .avhd, .vmrs, .vhdx, .avdx, .vmcx, .iso

Παραδόξως, το ντουλάπι Linux φαίνεται να παραλείπει τους ακόλουθους φακέλους και αρχεία, όλα σχετίζονται με φακέλους και εκτελέσιμα αρχεία των Windows, υποδεικνύοντας ότι η παραλλαγή Linux του Akira μεταφέρθηκε από την έκδοση των Windows.

winnt, temp, thumb, $Recycle.Bin, $RECYCLE.BIN, System Volume Information, Boot, Windows, Trend Micro, .exe, .dll, .lnk, .sys, .msi

Οι αναλυτές της Cyble, οι οποίοι επίσης δημοσίευσε έκθεση σχετικά με την έκδοση Linux του Akira σήμερα, εξηγήστε ότι ο κρυπτογραφητής περιλαμβάνει ένα δημόσιο κλειδί κρυπτογράφησης RSA και αξιοποιεί πολλούς αλγόριθμους συμμετρικών κλειδιών για την κρυπτογράφηση αρχείων, συμπεριλαμβανομένων των AES, CAMELLIA, IDEA-CB και DES.

Το συμμετρικό κλειδί χρησιμοποιείται για την κρυπτογράφηση των αρχείων των θυμάτων και στη συνέχεια κρυπτογραφείται με το δημόσιο κλειδί RSA. Αυτό αποτρέπει την πρόσβαση στο κλειδί αποκρυπτογράφησης, εκτός εάν έχετε το ιδιωτικό κλειδί αποκρυπτογράφησης RSA μόνο στους εισβολείς.

Το δημόσιο κλειδί RSA που χρησιμοποιείται από τον Akira
Το δημόσιο κλειδί RSA που χρησιμοποιείται από τον Akira (Cyble)

Τα κρυπτογραφημένα αρχεία με μετονομάζονται ώστε να έχουν το .akira επέκταση και ένα σημείωμα λύτρων με σκληρό κώδικα που ονομάζεται akira_readme.txt θα δημιουργηθεί σε κάθε φάκελο της κρυπτογραφημένης συσκευής.

Το σημείωμα λύτρων Akira έπεσε σε διακομιστές Linux
Το σημείωμα λύτρων Akira έπεσε σε διακομιστές Linux
Πηγή: BleepingComputer

Η επέκταση του εύρους στόχευσης του Akira αντικατοπτρίζεται στον αριθμό των θυμάτων που ανακοίνωσε πρόσφατα η ομάδα, γεγονός που κάνει την απειλή πιο σοβαρή για τους οργανισμούς σε όλο τον κόσμο.

Δυστυχώς, η προσθήκη υποστήριξης Linux είναι μια αυξανόμενη τάση μεταξύ των ομάδων ransomware, με πολλούς να χρησιμοποιούν άμεσα διαθέσιμα εργαλεία για να το κάνουν, καθώς αυτός είναι ένας εύκολος και σχεδόν αλάνθαστος τρόπος για να αυξήσετε τα κέρδη.

Άλλες λειτουργίες ransomware που χρησιμοποιούν κρυπτογραφητές ransomware Linux, με τους περισσότερους να στοχεύουν το VMware ESXi, περιλαμβάνουν τα Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX και Hive.





bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση