تیغ Akira روی گلوی سرورهای VMware ESXi

کمیته رکن چهارم – گروه عملیاتی باج‌افزار Akira به تازگی با استفاده از رمزگذارهای لینوکسی سرورهای VMware ESXi را هدف گرفته است.

گروه عملیاتی باج‌افزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشین‌های مجازی VMware ESXi در حملات اخاذی مضاعف علیه شرکت‌ها در سراسر جهان استفاده می‌کند.

آکیرا برای اولین بار در مارس ۲۰۲۳ ظهور کرد و سیستم‌های ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره هدف قرار داد.

مانند سایر باج‌افزارها که سازمانی را هدف قرار می‌دهند، عوامل تهدید داده‌ها را از شبکه‌های نقض شده سرقت می‌کنند و فایل‌ها را رمزگذاری می‌کنند تا از قربانیان اخاذی مضاعف انجام دهند و خواهان پرداخت‌هایی هستند که به چندین میلیون دلار می‌رسد.

نسخه لینوکس این باج‌افزار اولین بار توسط تحلیلگر بدافزار به نام rivitna کشف شد که هفته گذشته نمونه‌ای از رمزگذار جدید را در VirusTotal به اشتراک گذاشت.

نام پروژه Esxi_Build_Esxi6 است و نشان می‌دهد عوامل تهدید آن را به‌طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی کرده‌اند. برای مثال، یکی از فایل‌های کد منبع پروژه /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.

در چند سال گذشته، گروه‌های باج‌افزار به طور فزاینده‌ای رمزگذارهای لینوکس سفارشی را برای رمزگذاری سرورهای VMware ESXi ایجاد کرده‌اند زیرا شرکت‌ها به دلیل بهبود مدیریت دستگاه و استفاده کارآمد از منابع به سمت استفاده از سرورهای ماشین مجازی رفته‌اند.

با هدف قرار دادن سرورهای ESXi، یک عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی در حال اجرا هستند، در یک اجرای رمزگذار باج‌افزار رمزگذاری کند.

با این حال، بر خلاف دیگر رمزگذارهای VMware ESXi که توسط بلیپینگ کامپیوتر آنالیز می‌شوند، رمزگذارهای Akira دارای ویژگی‌های پیشرفته زیادی نیستند، مانند خاموش شدن خودکار ماشین‌های مجازی قبل از رمزگذاری فایل‌ها با استفاده از دستور esxcli.

پارامتر -n به ویژه قابل توجه است زیرا به مهاجمان اجازه می‌دهد تا تعیین کنند چه مقدار داده در هر فایل رمزگذاری شود. هرچه مقدار این پارامتر کمتر باشد، رمزگذاری سریع‌تر است، اما احتمال اینکه قربانیان بتوانند فایل‌های اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر می‌شود.

گسترش دامنه هدف‌گیری باج‌افزار Akira در تعداد قربانیانی که اخیراً توسط این گروه اعلام شده، منعکس شده است. این گروه باج‌افزاری فقط تهدید را برای سازمان ها در سراسر جهان شدیدتر می کند.

متأسفانه، افزودن پشتیبانی لینوکس یک روند رو به رشد در میان گروه‌های باج‌افزار است و بسیاری از آن‌ها از ابزارهای در دسترس برای انجام آن استفاده می‌کنند زیرا این یک راه آسان و تقریباً بی‌خطر برای افزایش سود است.

سایر عملیات‌های باج‌افزاری که از رمزگذارهای باج‌افزار لینوکس استفاده می‌کنند و بیشتر VMware ESXi را هدف قرار می‌دهند، عبارتند از: Royal، Black Basta، LockBit، BlackMatter، AvosLocker، REvil، HelloKitty، RansomEXX و Hive.

منبع:افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.