Akira Fidye Yazılımı Aktörleri ESXi Sunucularına Saldırmak İçin Rust Varyantı Geliştiriyor

   Ekim 22, 2024  Posted in CyberSecurityNews


Akira Fidye Yazılımı Aktörleri ESXi Sunucularına Saldırmak İçin Rust Varyantı Geliştiriyor

Akira Fidye Yazılımı Oyuncuları ESXi sunucularına saldırmak için bir Rust Varyantı geliştiriyor. İlk olarak Mart 2023’te tanımlanan bu virüs, hem Windows hem de Linux sistemlerini hedefliyor. İlk olarak Mart 2023’te tanımlandı ve hem “Windows” hem de “Linux” sistemlerini hedef alıyor.

Çifte şantaj taktiği kullanıyor ve başta ABD olmak üzere çok sayıda kuruluşu etkiledi Cisco Talos’taki Siber Güvenlik analistleri yakın zamanda Akira fidye yazılımı aktörlerinin ESXi sunucularına saldırmak için aktif olarak Akira’nın paslanmış bir versiyonunu geliştirdiğini tespit etti.

Hizmet Olarak SIEM

Akira fidye yazılımı, 2024 yılı boyunca saldırı metodolojilerini gelişmiş bir şekilde geliştirerek kendisini zorlu bir siber tehdit olarak kabul ettirdi.

Akira Fidye Yazılımı Yeni Pas Varyantı

Fidye yazılımının teknik mimarisi, “C++” programlama dilinden “Rust” programlama diline geçiş yaparak önemli bir “dönüşüm” yaşadı.

Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here 

Bu durum özellikle artık önceki “Crypto++ kitaplığı” yerine “rust-crypto 0.3.26 kitaplığını” kullanan “ESXi şifreleyici varyantında” (‘sürüm 2024.1.30’) yaşandı.

Akira’nın operatörleri, yetkisiz erişim elde etmek için “SonicWall SonicOS’ta CVE-2024-40766”, “Cisco VPN hizmetlerinde CVE-2023-20269” ve “FortiClientEMS yazılımında CVE-2023-48788” gibi kritik güvenlik açıklarından aktif olarak yararlanıyor.

Bir ağa girdikten sonra, kimlik bilgileri toplamak için “PowerShell komut dosyaları”, sistem gölge kopyalarını silmek için “WMI” (“Get-WmiObject Win32_Shadowcopy | Remove-WmiObject”) ve yanal hareket için “RDP” gibi karmaşık teknikler kullanırlar.

Fidye yazılımı, şifrelenmiş dosyalar için ayırt edici “akiranew” uzantısını kullanan ve ana yükünün yanında Megazord şifreleyiciyi kullanan en son sürümüyle hem “Windows” hem de “Linux” ortamlarını hedef alacak şekilde geliştirildi.

Saldırı zincirleri “VPN kimlik bilgilerinin tehlikeye atılması” ve “ağ cihazlarının istismar edilmesi” ile başlar ve bunu “Veeam.Backup” gibi araçlar aracılığıyla “ayrıcalık yükseltme” takip eder.

MountService.exe.”Öncelikle “imalat” ve “profesyonel teknik hizmetler” sektörlerindeki kuruluşlar hedefleniyor.

Bunu, “ikili doldurma” ve “güvenlik aracı manipülasyonu” gibi karmaşık kaçırma teknikleri yoluyla kalıcılığı koruyarak yapar.

Bunun yanı sıra, Akira fidye yazılımı grubunun stratejik olarak “Rust tabanlı Akira v2 varyantından” uzaklaştığı görülüyor. Bunun yerine, hem “Windows” hem de “Linux” şifreleme araçları için geleneksel “C++ programlama yaklaşımına” geri dönüyorlar.

Akira veri yükü geliştirme zaman çizelgesi (Kaynak – Cisco Talos)

Bu taktiksel değişiklik, inovasyon yerine operasyonel güvenilirliğe öncelik veriyor. Tanıdık uzantı ve notlar kullanılarak bulunan “Eylül 2024 örnekleri” ile kanıtlandığı gibi: –

  • .akira dosya uzantısı
  • akira_readme.txt fidye notları

Raporda, çeyrek tur operasyonlarının daha az olması nedeniyle grubun, şifreleme işlemlerini daha önce kullanılan “ChaCha20” algoritmasından daha verimli bir şekilde gerçekleştiren “ChaCha8” akış şifresini uygulayarak yaklaşımını teknik olarak geliştirdiği belirtiliyor.

Windows sürümü artık “-localonly” ve “-exclude” gibi yeni argümanlar içeriyor ve “$Recycle.Bin” ve “System Volume Information” gibi sistem yollarının şifrelenmesinden kaçınıyor.

Linux sürümü, şifreleme sırasında alt süreçler oluşturmak için “–fork” argümanını korur ve aşağıdakiler gibi belirli dosya uzantılarını hedefler:

  • .4d
  • .abd
  • .abx
  • .ade
  • .ckp
  • .db
  • .ddpl
  • .dx
  • .edb
  • .fo
  • .ib
  • .idb
  • .mdn
  • .çamur
  • .nv
  • .pdb
  • .sq
  • .the
  • .ud
  • .vdh

Daha akıcı operasyonlar için grup, araç setini kademeli olarak azalttı ve en sonuncusu, Windows ortamları için kullanılan “Megazord” oldu. Stratejik odak noktaları “VMWare’in ESXi’sine” ve “Linux ortamlarına” saldırmaya devam ediyor.

Bu platformlar, birden fazla VM’nin ve kritik iş yüklerinin “vmdk” dosyaları aracılığıyla eşzamanlı olarak şifrelenmesine olanak tanır; bu, hedef ağlarda kapsamlı yanal hareket ve kimlik bilgileri hırsızlığı ihtiyacını en aza indirirken operasyonel etkiyi en üst düzeye çıkarmaya yardımcı olur.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Güvenlik açıklarını düzenli olarak değerlendirin ve ESXi ana bilgisayarlarına güvenlik yamaları uygulayın.
  • Güçlü parola politikaları uygulayın ve MFA’yı etkinleştirin.
  • Tehditlerin sürekli izlenmesi ve yanıtlanması için “SIEM” ve “EDR/XDR”yi dağıtın.
  • Erişim kontrolleri, MFA ve RBAC ile güvenli ESXi arayüzleri.
  • Gereksiz WMI erişimini devre dışı bırakın ve WMI komutlarını izleyin.
  • Windows Defender Credential Guard ile kimlik bilgilerinin boşaltılmasını önleyin.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here



Source link