باج افزاری به نام Akira منتشر شد
چگونه باج افزار Akira سرورهای VMware ESXi را هدف قرار میدهد؟ در این مطلب شما را با باج افزار Akira، سرورهای VMware ESXi و نحوه نفوذ این باج افزار آشنا خواهیم کرد، پس تا پایان همراه ما باشید.
VMware ESXi یک سیستم عامل هایپروایزر مبتنی بر نرمافزار است که بر روی سرورها نصب میشود و به شما اجازه میدهد تا چندین ماشین مجازی را روی یک سختافزار فیزیکی اجرا کنید.
عملیات باجافزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشینهای مجازی VMware ESXi در حملات باجگیری مضاعف علیه شرکتها در سراسر جهان استفاده میکند.
Akira برای اولین بار در مارس ۲۰۲۳ پدیدار شد و سیستمهای ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره مورد هدف قرار داد.
عاملان این تهدید مانند سایر باجافزارهایی که سازمانها را مورد هدف قرار میدهند، دادههای شبکههای هک شده را به سرقت میبرند و فایلها را رمزگذاری میکنند تا اخاذی مضاعفی را از قربانیان انجام دهند و خواستار پرداخت چندین میلیون شوند.
این باج افزار از زمان راه اندازی تاکنون، تنها در ایالات متحده بیش از ۳۰ قربانی گرفته است و دو فعالیت مجزا در ارائه ID Ransomware در پایان ماه مه و زمان حال داشته است.
نفوذ باج افزار Akira در VMware ESXi
Akira در نسخه لینوکس، برای اولین بار توسط تحلیلگر بدافزار rivitna کشف شد که اخیرا نمونههایی از این رمزگذار جدید را در VirusTotal به اشتراک گذاشت.
طی تجریه و تحلیلی که Bleeping Computer از رمزگذار لینوکس انجام داده است، نام این پروژه Esxi_Build_Esxi6 میباشد که عوامل تهدید آن را صرفا برای هدف قرار دادن سرورهای VMware ESXi طراحی کردهاند.
برای مثال، یکی از فایلهای کد منبع پروژه، /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.
در چند سال گذشته، شرکتها به دلیل بهبود مدیریت سیستمهای خود و استفاده کارآمد از منابع، به استفاده از سرور مجازی روی آوردند. به همین خاطر، گروههای باجافزار به طور فزایندهای رمزگذارهای لینوکس سفارشی را برای رمزگذاری سرورهای VMware ESXi ایجاد کردهاند.
با نفوذ باج افزار Akira در سرورهای ESXi، عامل تهدید میتواند بسیاری از سرورهایی را که بهعنوان ماشینهای مجازی درحال اجرا هستند را در یک اجرای رمزگذار باجافزار، رمزگذاری کند.
با هدف قرار دادن سرورهای ESXi، یک عامل تهدید میتواند بسیاری از سرورهایی را که بهعنوان ماشینهای مجازی در حال اجرا هستند، در یک دوره رمزگذار باجافزار رمزگذاری کند.
با این حال، برخلاف دیگر رمزگذارهای VMware ESXi که توسط BleepingComputer تحلیل میشوند، رمزگذارهای Akira دارای ویژگیهای پیشرفته مانند خاموش کردن خودکار ماشینهای مجازی قبل از رمزگذاری فایلها با استفاده از دستور esxcli. نیستند.
با توجه به آنچه گفته شد، باینری از چند آرگومان خط فرمان پشتیبانی میکند که این امکان را برای هکر فراهم آورد تا حملات خود را شخصیسازی کند.
دستورات کاربردی در باج افزار Akira
کاربران با استفاده از دستورات زیر، میتوانند به راحتی حملات خود را سفارشی نمایند.
- -p –encryption_path (مسیرهای فایل/پوشه هدفمند)
- -s –share_file (مسیر درایو شبکه هدفمند)
- n –encryption_percent (درصد رمزگذاری)
- –fork (ایجاد یک فرآیند زیرمجموعه برای رمزگذاری)
پارامتر -n از اهمیت بالایی برخوردار است، زیرا به هکر اجازه میدهد تا تعیین کند چه مقدار داده در هر فایل رمزگذاری شده است.
هرچه این مقدار کمتر باشد، رمزگذاری سریعتر است، اما احتمال اینکه قربانیان بتوانند فایلهای اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر میشود.