باج افزاری به نام Akira منتشر شد

چگونه باج افزار Akira سرورهای VMware ESXi را هدف قرار می‌دهد؟ در این مطلب شما را با باج افزار Akira، سرورهای VMware ESXi و نحوه نفوذ این باج افزار آشنا خواهیم کرد، پس تا پایان همراه ما باشید.

VMware ESXi یک سیستم عامل هایپروایزر مبتنی بر نرم‌افزار است که بر روی سرورها نصب می‌شود و به شما اجازه می‌دهد تا چندین ماشین مجازی را روی یک سخت‌افزار فیزیکی اجرا کنید.

عملیات باج‌افزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشین‌های مجازی VMware ESXi در حملات باج‌گیری مضاعف علیه شرکت‌ها در سراسر جهان استفاده می‌کند.

Akira برای اولین بار در مارس ۲۰۲۳ پدیدار شد و سیستم‌های ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره مورد هدف قرار داد.

عاملان این تهدید مانند سایر باج‌افزارهایی که سازمان‌ها را مورد هدف قرار می‌دهند، داده‌های شبکه‌های هک شده را به سرقت می‌برند و فایل‌ها را رمزگذاری می‌کنند تا اخاذی مضاعفی را از قربانیان انجام دهند و خواستار پرداخت چندین میلیون شوند.

این باج افزار از زمان راه اندازی تاکنون، تنها در ایالات متحده بیش از ۳۰ قربانی گرفته است و دو فعالیت مجزا در ارائه ID Ransomware در پایان ماه مه و زمان حال داشته است.

نفوذ باج افزار Akira در VMware ESXi

Akira در نسخه لینوکس، برای اولین بار توسط تحلیلگر بدافزار rivitna کشف شد که اخیرا نمونه‌هایی از این رمزگذار جدید را در VirusTotal به اشتراک گذاشت.

طی تجریه و تحلیلی که Bleeping Computer از رمزگذار لینوکس انجام داده است، نام این پروژه Esxi_Build_Esxi6 می‌باشد که عوامل تهدید آن را صرفا برای هدف قرار دادن سرورهای VMware ESXi طراحی کرده‌اند.

برای مثال، یکی از فایل‌های کد منبع پروژه، /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.

در چند سال گذشته، شرکت‌ها به دلیل بهبود مدیریت سیستم‌های خود و استفاده کارآمد از منابع، به استفاده از سرور مجازی روی آوردند. به همین خاطر، گروه‌های باج‌افزار به طور فزاینده‌ای رمزگذارهای لینوکس سفارشی را برای رمزگذاری سرورهای VMware ESXi ایجاد کرده‌اند.

با نفوذ باج افزار Akira در سرورهای ESXi، عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی درحال اجرا هستند را در یک اجرای رمزگذار باج‌افزار، رمزگذاری کند.

با هدف قرار دادن سرورهای ESXi، یک عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی در حال اجرا هستند، در یک دوره رمزگذار باج‌افزار رمزگذاری کند.

با این حال، برخلاف دیگر رمزگذارهای VMware ESXi که توسط BleepingComputer تحلیل می‌شوند، رمزگذارهای Akira دارای ویژگی‌های پیشرفته مانند خاموش کردن خودکار ماشین‌های مجازی قبل از رمزگذاری فایل‌ها با استفاده از دستور esxcli. نیستند.

با توجه به آنچه گفته شد، باینری از چند آرگومان خط فرمان پشتیبانی می‌کند که این امکان را برای هکر فراهم آورد تا حملات خود را شخصی‌سازی کند.

دستورات کاربردی در باج افزار Akira

کاربران با استفاده از دستورات زیر، می‌توانند به راحتی حملات خود را سفارشی نمایند.

• -p –encryption_path (مسیرهای فایل/پوشه هدفمند)
• -s –share_file (مسیر درایو شبکه هدفمند)
• n –encryption_percent (درصد رمزگذاری)
• –fork (ایجاد یک فرآیند زیرمجموعه برای رمزگذاری)

پارامتر -n از اهمیت بالایی برخوردار است، زیرا به هکر اجازه می‌دهد تا تعیین کند چه مقدار داده در هر فایل رمزگذاری شده است.

هرچه این مقدار کمتر باشد، رمزگذاری سریع‌تر است، اما احتمال اینکه قربانیان بتوانند فایل‌های اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر می‌شود.