Mart 2023’ten bu yana Hizmet Olarak Fidye Yazılımı (RAAS) alanında önde gelen bir oyuncu olan Akira Ransomware Group, VMware ESXI sunucularını hedefleyen yeni bir Linux varyantıyla işlemlerini yoğunlaştırdı.
Başlangıçta Windows sistemlerine odaklanan Akira, VMware ESXI sunucuları için özel olarak tasarlanmış Linux tabanlı bir şifreleme kurarak Nisan 2023’te kapsamını genişletti.
Bu pivot, kurumsal altyapının yönetilmesindeki merkezi rolleri nedeniyle sanallaştırılmış ortamları hedefleyen fidye yazılımı grupları arasında daha geniş bir eğilimi yansıtmaktadır.
Bir ESXI hipervizöründen ödün vererek, saldırganlar aynı anda birden fazla sanal makineyi (VM) şifreleyebilir ve saldırının etkisini artırabilir.
Akira’nın gelişen cephaneliğinin bir parçası olan yeni Linux varyantı, operasyonlarında stratejik bir değişimi temsil ediyor. Başlangıçta C ++ tabanlı bir şifreleme ile Windows sistemlerini hedefleyen Akira, şimdi Linux ve VMware ESXI ortamlarına erişimini genişletti. Bu çok platform yaklaşımı, grubun uyarlanabilirliğini ve teknik karmaşıklığını göstermektedir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin.
Özellikle, fidye yazılımı .akira uzantısını şifrelenmiş dosyalara ekler ve operasyonel hızını korurken algılamadan kaçınmak için kısmi şifrelemeyi destekler.
Akira’nın yeni Linux fidye yazılımı
Akira V2 olarak adlandırılan Linux versiyonu, performans ve güvenlik özellikleri ile bilinen bir programlama dili olan Rust ile yazılmıştır.
Bu seçim fidye yazılımlarını analiz etmek ve tespit etmek için daha zor hale getirir. Akira V2 ayrıca şifreli dosyalara “.AKIRANEW” uzantısını ekler ve belirli dosya türlerini hedefleyen özel bir şifreleme işlemi kullanır.
Özellikle endişe verici olan, Akira V2’nin .EDB (Exchange Veritabanı) ve .vHD (sanal sabit disk) gibi uzantıları da dahil olmak üzere kritik sistem dosyalarını şifreleme yeteneğidir.
Bu yetenek kuruluşlar, potansiyel olarak sakatlanan e -posta hizmetleri ve sanallaştırılmış ortamlar için yıkıcı sonuçlara sahip olabilir.
Ek olarak, Akira’nın fidye yazılımı, Chacha20 akış şifresini RSA genel anahtar kriptosistemiyle birleştiren sofistike bir hibrid şifreleme şeması kullanır. Bu yaklaşım, güvenli anahtar değişimini sürdürürken büyük veri kümelerinin verimli şifrelemesine izin verir.
ESXI sunucularını hedefleyen Akira fidye yazılımı, VMware ortamlarındaki güvenlik açıklarından yararlanmak için belirli işlevlerle oluşturulmuştur. Örneğin,
- VMware ESXI hipervizörlerinde bir kimlik doğrulama baypas güvenlik açığı olan CVE-2024-37085’ten yararlanır ve saldırganların Active Directory yanlış yakınlaştırmaları yoluyla idari erişim kazanmalarına izin verir.
- Kötü amaçlı yazılım, günlüğü ve ESXCLI Sistemi Coredump Dosya Seti –Ansik Analizi önlemek için eSxcli System Syslog Config Set –logdir =/TMP gibi komutlar içerir.
- ESXI’yi hedefleyen diğer bazı fidye yazılımlarının aksine, Akira şifrelemeden önce VM’leri otomatik olarak kapatmaz. Bununla birlikte, saldırganların StopVM gibi komutları kullanarak aktif VM’leri manuel olarak feshetmeleri için maksimum bozulma sağlayarak seçenekler sunar.
Mağdur ve etki
Bitdefender, Akira’nın kurbanlarının üretim, eğitim, finans ve kritik altyapı dahil olmak üzere çeşitli sektörleri kapsadığını bildiriyor. Amerika Birleşik Devletleri en çok etkilenen ülke olmaya devam ediyor, bunu Kanada, Birleşik Krallık ve Almanya izliyor.
Grup, kuruluşundan bu yana küresel olarak 350’den fazla kurban talep etti ve Nisan 2024 itibariyle yaklaşık 42 milyon dolarlık USD’yi zorladı.
Fidye yazılımı bir çift uzatma stratejisi kullanır: dosyaları şifrelemeden önce hassas verileri söndürür. Mağdurlar, Akira’nın ev sahibi sızıntı alanında kamu veri sızıntıları tehdidi altında yüksek fidye ödemeleri için baskı altında.
BitDefender raporuna göre, site, kullanıcıların çalınan verilere sızıntı gibi komutlar aracılığıyla erişebilecekleri ve torrent bağlantıları aracılığıyla indirebilecekleri bir komut satırı arayüzüne sahiptir.
Savunma önlemleri
Kuruluşlar, sağlam siber güvenlik uygulamalarını benimseyerek Akira fidye yazılımı saldırıları riskini azaltabilir:
- Yama Yönetimi: Özellikle CVE-2024-37085 gibi kritik güvenlik açıkları için güvenlik güncellemelerini derhal uygulayın.
- Ağ Segmentasyonu: Lateral hareketi sınırlamak için kritik sistemleri daha geniş ağlardan izole edin.
- Uç nokta tespiti ve yanıtı (EDR): Fidye yazılımı ile ilişkili davranışsal anomalileri tespit edebilen çözümleri dağıtın.
- Yedekleme Stratejileri: Dürüstlük ve kurtarma hızı için test edilen çevrimdışı veya bulut tabanlı yedeklemeleri koruyun.
- Çok faktörlü kimlik doğrulama (MFA): Yetkisiz erişimi önlemek için tüm uzaktan erişim noktaları için MFA’yı uygulayın.
Akira’nın Linux varyantının ortaya çıkışı, VMware ESXI sunucuları gibi sanallaştırılmış ortamları hedefleyen fidye yazılımı gruplarının artan sofistike olmasının altını çiziyor.
Güvenlik açıklarından yararlanma ve saldırıları özelleştirme yeteneği ile Akira, dünya çapında kuruluşlar için önemli bir tehdit oluşturmaktadır.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek