Akira’ning VMware ESXi serverlariga hujumi: Ransomware yangi bosqichda

2023-yil mart oyidan beri Ransomware-as-a-Service (RaaS) sohasida faoliyat yuritayotgan Akira ransomware guruhi yaqinda o‘zining yangi Linux variantini taqdim etdi. Bu dastur VMware ESXi serverlarini nishonga oladi va kiberxavfsizlik sohasida jiddiy xavf tug‘diradi.

Dastlab Windows tizimlariga qaratilgan bo‘lsa, Akira 2023-yil aprel oyida Linux uchun mo‘ljallangan shifrlovchini ishlab chiqib, VMware ESXi serverlarini nishonga ola boshladi. Ushbu strategik burilish virtualizatsiyalangan muhitlarni nishonga olishda keng tarqalgan tendensiyani aks ettiradi, chunki bunday muhit korxona infratuzilmasining markaziy qismini tashkil etadi.

ESXi giperuzelining buzilishi orqali hujumchilar bir vaqtning özida bir nechta virtual mashinalarni (VMlarni) shifrlashi mumkin, bu esa hujumning ta’sirini bir necha barobar oshiradi.

Linux uchun ishlab chiqilgan Akira v2 dasturi Rust dasturlash tilida yozilgan bo‘lib, bu til o‘zining yuqori samaradorligi va xavfsizlik xususiyatlari bilan mashhur. Rustdan foydalanish ransomware tahlilini va aniqlanishini murakkablashtiradi. Akira v2 shifrlangan fayllarga “.akiranew” kengaytmasini qo‘shadi va maqsadli fayl turlarini nishonga oladigan maxsus shifrlash jarayonidan foydalanadi.

Dastur tizimning muhim fayllarini, jumladan, .edb (Exchange ma’lumotlar bazasi) va .vhd (virtual qattiq disk) kengaytmalariga ega fayllarni shifrlash qobiliyatiga ega. Bu tashkilotlar uchun jiddiy oqibatlarga olib kelishi, elektron pochta xizmati va virtualizatsiyalangan muhitlarni izdan chiqarishi mumkin.

Akira’ning ransomware dasturi ChaCha20 oqim shifri va RSA ochiq kalit kriptosistemasining kombinatsiyasidan foydalangan holda murakkab gibrid shifrlash sxemasidan foydalanadi. Bu yondashuv katta hajmdagi ma’lumotlarni samarali shifrlash va xavfsiz kalit almashinuvini ta’minlaydi.

Akira ransomware VMware muhitlaridagi zaifliklardan foydalanish uchun maxsus funksionallik bilan jihozlangan. Masalan:

  • CVE-2024-37085 zaifligidan foydalanadi. Bu VMware ESXi giperuzellaridagi autentifikatsiyani chetlab o‘tish imkonini beradi va Active Directory konfiguratsiyalaridagi xatoliklar orqali administrator huquqini qo‘lga kiritishga yordam beradi.
  • “esxcli system syslog config set –logdir=/tmp” kabi buyruqlardan foydalanib loglarni o‘chiradi va “esxcli system coredump file set –unconfigure” orqali tahlil qilish imkoniyatini cheklaydi.
  • Ba’zi boshqa ransomwarelardan farqli o‘laroq, Akira virtual mashinalarni avtomatik ravishda o‘chirmaydi, biroq hujumchilarga “stopvm” kabi buyruqlar yordamida faol VMlarni qo‘lda o‘chirish imkonini beradi.

Ma’lumotlarga ko‘ra, Akira’ning jabrlanuvchilari orasida ishlab chiqarish, ta’lim, moliya va tanqidiy infratuzilma sohalaridagi tashkilotlar mavjud. Qo‘shma Shtatlar eng ko‘p ta’sirlangan mamlakat bo‘lib, undan keyingi o‘rinlarni Kanada, Buyuk Britaniya va Germaniya egallaydi.

Guruh o‘z faoliyati davomida global miqyosda 350 dan ortiq qurbonni nishonga olgan va 2024-yil aprel holatiga ko‘ra, taxminan 42 million AQSh dollari miqdorida tovlamachilik puli undirishga muvaffaq bo‘lgan.

Akira ransomware ikki tomonlama tovlamachilik strategiyasidan foydalanadi: shifrlashdan oldin maxfiy ma’lumotlarni o‘zlashtiradi. Jabrlanuvchilar Akira’ning Tor tarmog‘ida joylashgan maxsus sayti orqali ma’lumotlarning oshkor bo‘lishi xavfi ostida yuqori miqdordagi tovon to‘lashga majburlanadi.

Tashkilotlar Akira ransomware hujumlaridan quyidagi choralar yordamida himoyalanishlari mumkin:

  1. Patch boshqaruvi: CVE-2024-37085 kabi zaifliklarga qarshi xavfsizlik yangilanishlarini zudlik bilan o‘rnatish.
  2. Tarmoq segmentatsiyasi: Tanqidiy tizimlarni umumiy tarmoqlardan ajratish.
  3. Endpoint Detection and Response (EDR): Ransomware bilan bog‘liq xatti-harakatlarni aniqlashga qodir yechimlarni joriy etish.
  4. Zaxiralash strategiyalari: Bulut yoki oflayn rejimdagi zaxiralarga ega bo‘lish va ularning yaxlitligi va tiklanish tezligini tekshirish.
  5. Ko‘p faktorli autentifikatsiya (MFA): Masofaviy kirish nuqtalari uchun MFAni joriy qilish.

Akira ransomware’ning Linux varianti virtualizatsiyalangan muhitlarni, xususan, VMware ESXi serverlarini nishonga oluvchi kiberxavfsizlik tahdidlarining rivojlanayotgan murakkabligini ko‘rsatadi. Zaifliklardan foydalanish va moslashtirilgan hujumlarni amalga oshirish qobiliyati tufayli Akira butun dunyo bo‘ylab tashkilotlarga katta xavf tug‘dirmoqda.

Skip to content