اطلاعات تماس

اهواز - کیانپارس - خیابان ۳ شرقی - ساختمان محمد - طبقه دوم - واحد ۶

061-91010061

sales@irhosting24.com

حساب کاربری
Akira

آشنایی با باج افزار Akira و نحوه کار کردن آن

باج افزار Akira سرورهای VMware ESXi را چگونه مورد حمله قرار می‌دهد؟ عملیات باج‌افزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشین‌های مجازی VMware ESXi در حملات باج‌گیری مضاعف علیه شرکت‌ها در سراسر جهان استفاده می‌کند. Akira برای اولین بار در مارس ۲۰۲۳ پدیدار شد و سیستم‌های ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره مورد هدف قرار داد.

عاملان این تهدید مانند سایر باج‌افزارهایی که سازمان‌ها را مورد هدف قرار می‌دهند، داده‌های شبکه‌های هک شده را به سرقت می‌برند و فایل‌ها را رمزگذاری می‌کنند تا اخاذی مضاعفی را از قربانیان انجام دهند و خواستار پرداخت چندین میلیون شوند.

این باج افزار از زمان راه اندازی تاکنون، تنها در ایالات متحده بیش از ۳۰ قربانی گرفته است و دو فعالیت مجزا در ارائه ID Ransomware در پایان ماه مه و زمان حال داشته است. در این مطلب شما را با باج افزار Akira، سرورهای VMware ESXi و نحوه نفوذ این باج افزار آشنا خواهیم کرد، پس تا پایان با ما در ایران هاستینگ 24 همراه ما باشید.

نفوذ باج افزار Akira در VMware ESXi

Akira در نسخه لینوکس، برای اولین بار توسط تحلیلگر بد افزار rivitna کشف شد که اخیرا نمونه‌ هایی از این رمز گذار جدید را در VirusTotal به اشتراک گذاشت. طی تجریه و تحلیلی که Bleeping Computer از رمزگذار لینوکس انجام داده است، نام این پروژه Esxi_Build_Esxi6 می‌ باشد که عوامل تهدید آن را صرفا برای هدف قرار دادن سرورهای VMware ESXi طراحی کرده‌اند. برای مثال، یکی از فایل‌های کد منبع پروژه، /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.

در چند سال گذشته، شرکت‌ ها به دلیل بهبود مدیریت سیستم‌ های خود و استفاده کارآمد از منابع، به استفاده از سرور مجازی روی آوردند. به همین خاطر، گروه‌ های باج‌ افزار به طور فزاینده‌ای رمز گذارهای لینوکس سفارشی را برای رمزگذاری سرور های VMware ESXi ایجاد کرده‌اند.

با نفوذ باج افزار Akira در سرورهای ESXi، عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی درحال اجرا هستند را در یک اجرای رمزگذار باج‌افزار، رمزگذاری کند. با هدف قرار دادن سرورهای ESXi، یک عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی در حال اجرا هستند، در یک دوره رمزگذار باج‌افزار رمزگذاری کند.

با این حال، برخلاف دیگر رمزگذارهای VMware ESXi که توسط BleepingComputer تحلیل می‌شوند، رمزگذارهای Akira دارای ویژگی‌های پیشرفته مانند خاموش کردن خودکار ماشین‌های مجازی قبل از رمزگذاری فایل‌ها با استفاده از دستور esxcli. نیستند. با توجه به آنچه گفته شد، باینری از چند آرگومان خط فرمان پشتیبانی می‌کند که این امکان را برای هکر فراهم آورد تا حملات خود را شخصی‌ سازی کند.

دستورات کاربردی در باج افزار Akira

کاربران با استفاده از دستورات زیر، می‌توانند به راحتی حملات خود را سفارشی نمایند.

  • -p –encryption_path (مسیرهای فایل/پوشه هدفمند)
  • -s –share_file (مسیر درایو شبکه هدفمند)
  • n –encryption_percent (درصد رمزگذاری)
  • –fork (ایجاد یک فرآیند زیرمجموعه برای رمزگذاری)

پارامتر -n از اهمیت بالایی برخوردار است، زیرا به هکر اجازه می‌دهد تا تعیین کند چه مقدار داده در هر فایل رمزگذاری شده است. هرچه این مقدار کمتر باشد، رمزگذاری سریع‌ تر است، اما احتمال اینکه قربانیان بتوانند فایل‌ های اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر می‌شود.

باج افزار Akira
باج افزار Akira

رمزگذار لینوکس Akira، هنگام رمزگذاری فایل‌ها، پسوندهای زیر را مورد هدف قرار می‌دهد.

باج افزار
باج افزار

نوع لینوکس Akira از نسخه ویندوز منتقل شده است، زیرا رمزگذاری لینوکس همگی مربوط به فایل‌های اجرایی ویندوز هستند.

طبق گزارش تحلیلگران Cyble در مورد نسخه لینوکس Akira، این رمزگذار شامل یک کلید رمزگذاری عمومی RSA است و از چندین الگوریتم کلید متقارن برای رمزگذاری فایل، از جمله AES، CAMELLIA، IDEA-CB و DES استفاده می‌کند. کلید متقارن، برای رمزگذاری فایل قربانیان استفاده می‌شود و سپس با استفاده از کلید عمومی RSA رمزگذاری انجام می‌گیرد. این کار از دسترسی به کلید رمزگشایی جلوگیری می‌کند، مگر اینکه کلید رمزگشایی خصوصی RSA تنها در اختیار مهاجمان باشد.

فایل‌های رمزگذاری‌شده با پسوند akira. تغییر نام داده می‌شوند و در هر پوشه روی سیستم رمزگذاری‌شده، یک یادداشت باج با کدی به نام akira_readme.txt ایجاد می‌شود. گسترش نفوذ باج افزار Akira در تعداد قربانیانی که اخیراً توسط این گروه اعلام شده است، منعکس شده و فقط تهدید را برای سازمان‌ها در سراسر جهان تشدید می‌کند.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *