آشنایی با باج افزار Akira و نحوه کار کردن آن باج افزار Akira سرورهای VMware ESXi را چگونه مورد حمله قرار میدهد؟ عملیات باجافزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشینهای مجازی VMware ESXi در حملات باجگیری مضاعف علیه شرکتها در سراسر جهان استفاده میکند. Akira برای اولین بار در مارس ۲۰۲۳ پدیدار شد و سیستمهای ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره مورد هدف قرار داد. عاملان این تهدید مانند سایر باجافزارهایی که سازمانها را مورد هدف قرار میدهند، دادههای شبکههای هک شده را به سرقت میبرند و فایلها را رمزگذاری میکنند تا اخاذی مضاعفی را از قربانیان انجام دهند و خواستار پرداخت چندین میلیون شوند. این باج افزار از زمان راه اندازی تاکنون، تنها در ایالات متحده بیش از ۳۰ قربانی گرفته است و دو فعالیت مجزا در ارائه ID Ransomware در پایان ماه مه و زمان حال داشته است. در این مطلب شما را با باج افزار Akira، سرورهای VMware ESXi و نحوه نفوذ این باج افزار آشنا خواهیم کرد، پس تا پایان با ما در ایران هاستینگ 24 همراه ما باشید. نفوذ باج افزار Akira در VMware ESXi Akira در نسخه لینوکس، برای اولین بار توسط تحلیلگر بد افزار rivitna کشف شد که اخیرا نمونه هایی از این رمز گذار جدید را در VirusTotal به اشتراک گذاشت. طی تجریه و تحلیلی که Bleeping Computer از رمزگذار لینوکس انجام داده است، نام این پروژه Esxi_Build_Esxi6 می باشد که عوامل تهدید آن را صرفا برای هدف قرار دادن سرورهای VMware ESXi طراحی کردهاند. برای مثال، یکی از فایلهای کد منبع پروژه، /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است. در چند سال گذشته، شرکت ها به دلیل بهبود مدیریت سیستم های خود و استفاده کارآمد از منابع، به استفاده از سرور مجازی روی آوردند. به همین خاطر، گروه های باج افزار به طور فزایندهای رمز گذارهای لینوکس سفارشی را برای رمزگذاری سرور های VMware ESXi ایجاد کردهاند. با نفوذ باج افزار Akira در سرورهای ESXi، عامل تهدید میتواند بسیاری از سرورهایی را که بهعنوان ماشینهای مجازی درحال اجرا هستند را در یک اجرای رمزگذار باجافزار، رمزگذاری کند. با هدف قرار دادن سرورهای ESXi، یک عامل تهدید میتواند بسیاری از سرورهایی را که بهعنوان ماشینهای مجازی در حال اجرا هستند، در یک دوره رمزگذار باجافزار رمزگذاری کند. با این حال، برخلاف دیگر رمزگذارهای VMware ESXi که توسط BleepingComputer تحلیل میشوند، رمزگذارهای Akira دارای ویژگیهای پیشرفته مانند خاموش کردن خودکار ماشینهای مجازی قبل از رمزگذاری فایلها با استفاده از دستور esxcli. نیستند. با توجه به آنچه گفته شد، باینری از چند آرگومان خط فرمان پشتیبانی میکند که این امکان را برای هکر فراهم آورد تا حملات خود را شخصی سازی کند. دستورات کاربردی در باج افزار Akira کاربران با استفاده از دستورات زیر، میتوانند به راحتی حملات خود را سفارشی نمایند. -p –encryption_path (مسیرهای فایل/پوشه هدفمند) -s –share_file (مسیر درایو شبکه هدفمند) n –encryption_percent (درصد رمزگذاری) –fork (ایجاد یک فرآیند زیرمجموعه برای رمزگذاری) پارامتر -n از اهمیت بالایی برخوردار است، زیرا به هکر اجازه میدهد تا تعیین کند چه مقدار داده در هر فایل رمزگذاری شده است. هرچه این مقدار کمتر باشد، رمزگذاری سریع تر است، اما احتمال اینکه قربانیان بتوانند فایل های اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر میشود. باج افزار Akira رمزگذار لینوکس Akira، هنگام رمزگذاری فایلها، پسوندهای زیر را مورد هدف قرار میدهد. باج افزار نوع لینوکس Akira از نسخه ویندوز منتقل شده است، زیرا رمزگذاری لینوکس همگی مربوط به فایلهای اجرایی ویندوز هستند. طبق گزارش تحلیلگران Cyble در مورد نسخه لینوکس Akira، این رمزگذار شامل یک کلید رمزگذاری عمومی RSA است و از چندین الگوریتم کلید متقارن برای رمزگذاری فایل، از جمله AES، CAMELLIA، IDEA-CB و DES استفاده میکند. کلید متقارن، برای رمزگذاری فایل قربانیان استفاده میشود و سپس با استفاده از کلید عمومی RSA رمزگذاری انجام میگیرد. این کار از دسترسی به کلید رمزگشایی جلوگیری میکند، مگر اینکه کلید رمزگشایی خصوصی RSA تنها در اختیار مهاجمان باشد. فایلهای رمزگذاریشده با پسوند akira. تغییر نام داده میشوند و در هر پوشه روی سیستم رمزگذاریشده، یک یادداشت باج با کدی به نام akira_readme.txt ایجاد میشود. گسترش نفوذ باج افزار Akira در تعداد قربانیانی که اخیراً توسط این گروه اعلام شده است، منعکس شده و فقط تهدید را برای سازمانها در سراسر جهان تشدید میکند.
