کمیته رکن چهارم – گروه عملیاتی باجافزار Akira به تازگی با استفاده از رمزگذارهای لینوکسی سرورهای VMware ESXi را هدف گرفته است.
گروه عملیاتی باجافزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشینهای مجازی VMware ESXi در حملات اخاذی مضاعف علیه شرکتها در سراسر جهان استفاده میکند.
آکیرا برای اولین بار در مارس ۲۰۲۳ ظهور کرد و سیستمهای ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره هدف قرار داد.
مانند سایر باجافزارها که سازمانی را هدف قرار میدهند، عوامل تهدید دادهها را از شبکههای نقض شده سرقت میکنند و فایلها را رمزگذاری میکنند تا از قربانیان اخاذی مضاعف انجام دهند و خواهان پرداختهایی هستند که به چندین میلیون دلار میرسد.
نسخه لینوکس این باجافزار اولین بار توسط تحلیلگر بدافزار به نام rivitna کشف شد که هفته گذشته نمونهای از رمزگذار جدید را در VirusTotal به اشتراک گذاشت.
نام پروژه Esxi_Build_Esxi6 است و نشان میدهد عوامل تهدید آن را بهطور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی کردهاند. برای مثال، یکی از فایلهای کد منبع پروژه /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.
در چند سال گذشته، گروههای باجافزار به طور فزایندهای رمزگذارهای لینوکس سفارشی را برای رمزگذاری سرورهای VMware ESXi ایجاد کردهاند زیرا شرکتها به دلیل بهبود مدیریت دستگاه و استفاده کارآمد از منابع به سمت استفاده از سرورهای ماشین مجازی رفتهاند.
با هدف قرار دادن سرورهای ESXi، یک عامل تهدید میتواند بسیاری از سرورهایی را که بهعنوان ماشینهای مجازی در حال اجرا هستند، در یک اجرای رمزگذار باجافزار رمزگذاری کند.
با این حال، بر خلاف دیگر رمزگذارهای VMware ESXi که توسط بلیپینگ کامپیوتر آنالیز میشوند، رمزگذارهای Akira دارای ویژگیهای پیشرفته زیادی نیستند، مانند خاموش شدن خودکار ماشینهای مجازی قبل از رمزگذاری فایلها با استفاده از دستور esxcli.
پارامتر -n به ویژه قابل توجه است زیرا به مهاجمان اجازه میدهد تا تعیین کنند چه مقدار داده در هر فایل رمزگذاری شود. هرچه مقدار این پارامتر کمتر باشد، رمزگذاری سریعتر است، اما احتمال اینکه قربانیان بتوانند فایلهای اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر میشود.
گسترش دامنه هدفگیری باجافزار Akira در تعداد قربانیانی که اخیراً توسط این گروه اعلام شده، منعکس شده است. این گروه باجافزاری فقط تهدید را برای سازمان ها در سراسر جهان شدیدتر می کند.
متأسفانه، افزودن پشتیبانی لینوکس یک روند رو به رشد در میان گروههای باجافزار است و بسیاری از آنها از ابزارهای در دسترس برای انجام آن استفاده میکنند زیرا این یک راه آسان و تقریباً بیخطر برای افزایش سود است.
سایر عملیاتهای باجافزاری که از رمزگذارهای باجافزار لینوکس استفاده میکنند و بیشتر VMware ESXi را هدف قرار میدهند، عبارتند از: Royal، Black Basta، LockBit، BlackMatter، AvosLocker، REvil، HelloKitty، RansomEXX و Hive.
منبع:افتانا