Новая атака Akira на серверы VMware ESXi: Ransomware выходит на новый уровень
Группа вымогателей Akira, активно работающая в сфере Ransomware-as-a-Service (RaaS) с марта 2023 года, недавно представила новую версию своего вредоносного ПО для Linux, нацеленную на серверы VMware ESXi. Это представляет серьезную угрозу в области кибербезопасности.
Изначально сосредоточенная на системах Windows, Akira в апреле 2023 года разработала шифровальщик для Linux, который специально нацелен на серверы VMware ESXi. Этот стратегический поворот отражает общую тенденцию среди групп вымогателей, направленную на виртуализированные среды, поскольку такие среды занимают центральное место в инфраструктуре предприятий.
С помощью компрометации гипервизора ESXi злоумышленники могут одновременно зашифровать несколько виртуальных машин (VM), что значительно увеличивает эффект атаки.
Программа Akira v2 для Linux написана на языке программирования Rust, который известен своей высокой производительностью и безопасностью. Использование Rust усложняет анализ и обнаружение программы-вымогателя. Akira v2 добавляет расширение «.akiranew» к зашифрованным файлам и использует специальный процесс шифрования, нацеленный на определенные типы файлов.
Программа способна шифровать важные системные файлы, включая файлы с расширениями .edb (база данных Exchange) и .vhd (виртуальный жесткий диск). Это может иметь серьезные последствия для организаций, вплоть до вывода из строя служб электронной почты и виртуализированных сред.
Программа-вымогатель Akira использует сложную гибридную схему шифрования, объединяющую потоковый шифр ChaCha20 и криптосистему с открытым ключом RSA. Этот подход обеспечивает эффективное шифрование больших объемов данных при сохранении надежного обмена ключами.
Akira оснащена функциональностью, специально предназначенной для использования уязвимостей в VMware-средах. Например:
- Эксплуатирует уязвимость CVE-2024-37085, которая позволяет обходить аутентификацию в гипервизорах VMware ESXi и получать права администратора через ошибки в настройках Active Directory.
- Использует команды, такие как
esxcli system syslog config set –logdir=/tmpдля отключения журналирования иesxcli system coredump file set –unconfigureдля ограничения возможности анализа. - В отличие от некоторых других программ-вымогателей, Akira не завершает работу виртуальных машин автоматически. Однако она предоставляет злоумышленникам возможность вручную останавливать активные VM с помощью команд, таких как
stopvm, для максимального разрушения.
Согласно данным, жертвами Akira становятся организации из различных отраслей, включая производство, образование, финансы и критическую инфраструктуру. Наиболее пострадавшей страной являются США, за которыми следуют Канада, Великобритания и Германия.
За время своей деятельности группа атаковала более 350 жертв по всему миру и на апрель 2024 года получила около 42 миллионов долларов США в виде выкупа.
Akira использует стратегию двойного вымогательства: перед шифрованием данные жертв изымаются. Пострадавшие вынуждены платить крупные суммы под угрозой публичного раскрытия данных на сайте Akira в сети Tor.
Организации могут защититься от атак программы Akira, приняв следующие меры:
- Управление патчами: оперативно устанавливайте обновления безопасности, особенно для уязвимостей, таких как CVE-2024-37085.
- Сегментация сети: изолируйте критически важные системы от общей сети.
- Системы обнаружения и реагирования (EDR): используйте решения, способные выявлять поведенческие аномалии, связанные с вымогательским ПО.
- Резервное копирование: обеспечьте наличие оффлайн или облачных резервных копий и регулярно проверяйте их целостность и скорость восстановления.
- Многофакторная аутентификация (MFA): используйте MFA для всех точек удаленного доступа.
Новая версия Akira для Linux подчеркивает растущую сложность угроз в кибербезопасности, нацеленных на виртуализированные среды, такие как серверы VMware ESXi. Благодаря способности использовать уязвимости и проводить индивидуальные атаки, Akira представляет собой значительную угрозу для организаций по всему миру.
