Akira olarak bilinen yeni ortaya çıkan bir fidye yazılımı, güvenliğini ihlal edilen her dosyaya “.akira” dosya uzantısını ekleyen Linux tabanlı platformları hedef alacak şekilde operasyonlarını genişletiyor.
Akira fidye yazılımı, çoğunlukla Nisan 2023’ten beri faaliyet gösteriyor ve hassas verilerini tehlikeye atarak çok sayıda kuruluşu aktif olarak hedefliyor.
Akira fidye yazılımı, saldırıları sırasında özellikle Eğitim, Bankacılık, Finansal Hizmetler ve Sigorta (BFSI), Üretim, Profesyonel Hizmetler ve daha fazlasını içeren sektörleri kapsayan çok çeşitli sektörleri hedef aldı.
Cyble raporuna göre grup, çoğu Amerika Birleşik Devletleri’nde bulunan ve kamuya açıklanan 46 kurbanı ele geçirdi.
Akira Fidye Yazılımının Teknik Analizi:
Saldırının yürütülmesi, kötü amaçlı 64-bit Linux yürütülebilir Linkable Format (ELF) dosyası aracılığıyla gerçekleştirildi.
Akira yürütülebilir dosyasını yürütmek için belirli parametrelerin sağlanması gerekir.
Akira yürütülebilir dosyasını çalıştırmak için gerekli parametreler aşağıdaki gibidir:
- “-p” / “–encryption_path” – Şifrelenecek dosyaların/klasörün yolu.
- “-s” / “–share_file” – Şifrelenecek paylaşılan ağ sürücüsünün yolu
- “-n” / “–encryption_percent” – Şifrelenecek dosyaların yüzdesi.
- “-fork” – Şifreleme için bir alt süreç oluşturma.
Akira fidye yazılımı çalıştırıldığında, sistemdeki dosyaları şifrelemek için önceden belirlenmiş bir RSA genel anahtarı yükler.
Genel anahtar başlatıldıktan sonra, Akira fidye yazılımı, hedeflemeyi ve şifrelemeyi amaçladığı önceden belirlenmiş dosya uzantılarının bir listesini yükler.
Fidye yazılımı, AES, CAMELLIA, IDEA-CB ve DES dahil olmak üzere çoklu simetrik anahtar algoritmalarıyla ilişkili rutinleri birleştirir.
Listelenen bir uzantıya sahip bir dosyayla karşılaştığında, fidye yazılımı dosyayı şifrelemeye devam eder ve fidye yazılımı notunu bulaşıcı makinede bırakır.
Fidye yazılımı notları, fidye için pazarlık yapmak üzere gruba nasıl ulaşılacağını ve verilerinin şifresini çözmek için rehberlik edilmesini ayrıntılı olarak açıklıyor.
Başlangıçta Windows sistemlerine odaklanan Akira Ransomware, şimdi hedef yelpazesini Linux platformlarını da içerecek şekilde genişletti.
Saldırılar sırasında Akira, kurbanın dosyalarına erişilemez hale getirmek için AES ve RSA şifrelemesinin bir kombinasyonunu kullanır.
Akira, kurbanın dosyalarını şifrelemenin yanı sıra dosyaların Gölge Birimi kopyalarını da kaldıracaktır.
Bu, kullanıcıların dosyalarını alternatif yöntemler kullanarak kurtarmasını önlemek için yapılır.
Fidye yazılımlarının çoğalması ve taktiklerdeki değişim, fidye yazılımı grupları arasında artan bir eğilimi yansıtıyor.
Uzlaşma göstergesi:
göstergeler | Gösterge Türü | Tanım |
302f76897e4e5c8c98a52a38c4c98443 9180ea8ba0cdfe0a769089977ed8396a68761b40 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296 |
MD5 SHA1 SHA256 |
Akira Fidye Yazılımı ELF |