Το Akira ransomware χρησιμοποιεί μια λειτουργία κρυπτογράφησης Linux για να κρυπτογραφήσει εικονικές μηχανές VMware ESXi και να επιτεθεί με διπλό εκβιασμό σε εταιρείες παγκοσμίως.
Δείτε επίσης: Χάκερ μολύνουν Linux SSH servers με το Tsunami botnet malware
Το Akira είναι ένα λογισμικό που κυκλοφόρησε για πρώτη φορά τον Μάρτιο του 2023 και στοχεύει σε συστήματα Windows σε διάφορους κλάδους, όπως η εκπαίδευση, η χρηματοδότηση, η ακίνητη περιουσία, η κατασκευή και η συμβουλευτική.
Οι φορείς απειλών κλέβουν δεδομένα από παραβιασμένα δίκτυα και κρυπτογραφούν αρχεία, ώστε να μπορούν να εκβιάσουν τις επιχειρήσεις. Οι πληρωμές που απαιτούνται είναι πολλά εκατομμύρια δολάρια, αφού κάνουν διπλό εκβιασμό στα θύματα. Αυτό συμβαίνει και με άλλες συμμορίες ransomware που στοχεύουν επιχειρήσεις.
Η επίθεση ransomware έχει επηρεάσει πάνω από 30 θύματα στις Ηνωμένες Πολιτείες από την έναρξη της δραστηριότητάς της. Υπήρξαν δύο περιόδοι με έντονες επιθέσεις, μία στα τέλη Μαΐου και μία σήμερα, όπως αναγνωρίστηκε από τις υποβολές ID Ransomware.
Πρόσφατα ο αναλυτής κακόβουλου λογισμικού rivitna ανακάλυψε την έκδοση Linux του Akira. Μοιράστηκε ένα δείγμα του νέου κρυπτογραφητή στο VirusTotal την προηγούμενη εβδομάδα.
Τα τελευταία χρόνια, οι συμμορίες ransomware έχουν δημιουργήσει εξειδικευμένους κρυπτογραφητές Linux για να κρυπτογραφούν διακομιστές VMware ESXi. Αυτό συμβαίνει διότι επιχειρήσεις χρησιμοποιούν εικονικές μηχανές για τους διακομιστές τους, ώστε να διαχειρίζονται καλύτερα τις συσκευές τους και να χρησιμοποιούν αποτελεσματικότερα τους πόρους τους.
Σκοπεύοντας να εγκαταστήσουμε διακομιστές ESXi, υπάρχει ο κίνδυνος ότι ένας κακόβουλος παράγοντας μπορεί να κρυπτογραφήσει πολλούς διακομιστές που εκτελούνται ως εικονικές μηχανές σε μια μόνο επίθεση κρυπτογράφησης ransomware.
Δείτε ακόμα: Ψεύτικα zero-day PoC exploits στο GitHub διασπείρουν Windows και Linux malware
Ωστόσο, οι κρυπτογραφητές του Akira δεν περιλαμβάνουν προηγμένες λειτουργίες όπως η αυτόματη απενεργοποίηση εικονικών μηχανών πριν από την κρυπτογράφηση αρχείων με τη χρήση της εντολής esxcli, σε αντίθεση με άλλους κρυπτογραφητές του VMware ESXi.
- -p –encryption_path (targeted file/folder paths)
- -s –share_file (targeted network drive path)
- – n –encryption_percent (percentage of encryption)
- –fork (create a child process for encryption)
Η Cyble δημοσίευσε μια αναφορά για την έκδοση Linux του Akira. Οι αναλυτές εξηγούν ότι ο κρυπτογραφητής περιλαμβάνει ένα δημόσιο κλειδί κρυπτογράφησης RSA και χρησιμοποιεί πολλούς αλγόριθμους συμμετρικών κλειδιών, όπως τα AES, CAMELLIA, IDEA-CB και DES, για την κρυπτογράφηση αρχείων.
Η ομάδα ανακοίνωσε πρόσφατα ένα μεγαλύτερο αριθμό θυμάτων λόγω της επέκτασης του εύρους στόχευσης του Akira. Αυτό καθιστά την απειλή πιο σοβαρή για οργανισμούς σε όλο τον κόσμο.
Δείτε επίσης: Buhti ransomware: Xρησιμοποιεί leaked κώδικα για Windows, Linux
Δυστυχώς, όλο και περισσότερες ομάδες ransomware προσθέτουν υποστήριξη για Linux. Χρησιμοποιούν διαθέσιμα εργαλεία για να το κάνουν αυτό, καθώς είναι ένας εύκολος και σχεδόν ανίχνευτος τρόπος να αυξήσουν τα κέρδη τους.
