Akira Ransomware işlemi, dünya çapında şirketlere karşı çift genişlemeli saldırılarda VMware ESXI sanal makinelerini şifrelemek için bir Linux şifrelemesi kullanır.
Akira ilk olarak Mart 2023'te ortaya çıktı ve eğitim, finans, gayrimenkul, üretim ve danışmanlık da dahil olmak üzere çeşitli endüstrilerdeki pencere sistemlerini hedef aldı.
Diğer kurumsal hedefleme fidye yazılımı çeteleri gibi, tehdit aktörleri de ihlal edilen ağlardan veri çalıyor ve kurbanlara çift gasp yapmak için dosyaları şifreliyor ve birkaç milyon dolara ulaşan ödemeler talep ediyor.
Fidye yazılımı operasyonu, piyasaya sürülmesinden bu yana, sadece Amerika Birleşik Devletleri'nde 30'dan fazla kurban talep etti ve Mayıs sonunda ve şimdiki kimlik fidye yazılımı gönderimlerinde iki farklı etkinlik artışı oldu.
Akira'nın Linux versiyonu ilk olarak geçen hafta Virustotal'da yeni şifrelemenin bir örneğini paylaşan kötü amaçlı yazılım analisti Rivitna tarafından keşfedildi.
BleepingComputer'ın Linux şifrelemesini analizi, tehdit aktörlerinin özellikle VMware ESXI sunucularını hedeflemek için tasarladığını gösteren 'ESXI_BUILD_ESXI6' proje adına sahip olduğunu göstermektedir.
Örneğin, projenin kaynak kodu dosyalarından biri /mnt/d/vcprojects/esxi_build_esxi6/argh.h'dir.
Son birkaç yıldır, fidye yazılımı çeteleri, VMware ESXI sunucularını şifrelemek için giderek daha fazla özel Linux şifrelemeleri oluşturdu, çünkü kurumsal, geliştirilmiş cihaz yönetimi ve kaynakların verimli kullanımı için sunucular için sanal makineler kullandı.
ESXI sunucularını hedefleyerek, bir tehdit oyuncusu fidye yazılımı şifrelemesinin tek bir çalışmasında sanal makine olarak çalışan birçok sunucuyu şifreleyebilir.
Bununla birlikte, BleepingComputer tarafından analiz edilen diğer VMware ESXI şifrelemelerinin aksine, Akira'nın şifrelemeleri, ESXCLI komutunu kullanarak dosyaları şifrelemeden önce sanal makinelerin otomatik olarak kapatılması gibi birçok gelişmiş özellik içermez.
Bununla birlikte, ikili, bir saldırganın saldırılarını özelleştirmesine izin veren birkaç komut satırı argümanını destekler:
-N parametresi, saldırganların her dosyada ne kadar veri şifrelendiğini tanımlamasına izin verdiği için özellikle dikkat çekicidir.
Bu ayar ne kadar düşük olursa, şifreleme o kadar hızlı olur, ancak kurbanların fidye ödemeden orijinal dosyalarını kurtarma olasılığı o kadar artar.
Dosyaları şifrelerken, Linux Akira şifrelemesi aşağıdaki uzantıları hedefleyecektir:
Garip bir şekilde, Linux Locker, akira'nın Linux varyantının Windows sürümünden taşındığını gösteren, hepsi Windows klasörleri ve yürütülebilir ürünlerle ilgili aşağıdaki klasörleri ve dosyaları atlıyor gibi görünüyor.
Bugün Akira'nın Linux versiyonu hakkında bir rapor yayınlayan Cyble analistleri, şifrelemenin genel bir RSA şifreleme anahtarı içerdiğini ve AES, Camellia, Idea-CB ve DES dahil olmak üzere dosya şifreleme için birden fazla simetrik anahtar algoritmalarından yararlandığını açıklıyor.
Simetrik anahtar, kurbanların dosyalarını şifrelemek için kullanılır ve daha sonra RSA genel anahtarı ile şifrelenir. Bu, yalnızca saldırganlar tarafından tutulan RSA özel şifre çözme tuşuna sahip olmadığınız sürece şifre çözme anahtarına erişimi önler.
Şifrelenmiş dosyalar, .AKIRA uzantısına sahip olmak için yeniden adlandırılmalı ve şifrelenmiş cihazdaki her klasörde akira_readme.txt adlı sabit kodlu bir fidye notu oluşturulacaktır.
Akira'nın hedefleme kapsamının genişlemesi, son zamanlarda grup tarafından ilan edilen kurban sayısına yansıyor ve bu da tehdidi dünya çapında kuruluşlar için daha şiddetli hale getiriyor.
Ne yazık ki, Linux desteği eklemek, fidye yazılımı grupları arasında büyüyen bir eğilimdir, birçoğu bunu yapmak için kolayca kullanılabilir araçlar kullanır, çünkü bu karı artırmanın kolay ve neredeyse kusursuz bir yoludur.
Çoğu hedefleme VMware ESXI ile Linux fidye yazılım şifrelemelerini kullanan diğer fidye yazılımı işlemleri arasında Royal, Black Basta, Lockbit, Blackmatter, Avoslocker, Revil, Hellokitty, Ransomexx ve Hive bulunur.
Fidye yazılımı sadece daha hızlı hale geliyor: Daha güçlü bir savunmaya altı adım
Yeni Buhti fidye yazılımı çetesi sızdırılmış pencereler, linux şifrelemeleri kullanır
İranlı korsanlar İsrail Orgs'a saldırmak için yeni Moneybird Fidye Yazılımı kullanıyor
Yeni RA Group Ransomware, ABD Orgs'ı çift genişlemeli saldırılarda hedefliyor
Ransomware'de Hafta - 12 Mayıs 2023 - Yeni Çeteler ortaya çıkıyor
Kaynak: Bleeping Computer