Akira勒索软件使用Linux加密器对VMware ESXi虚拟机进行加密,进而对全球企业进行双重勒索攻击。
Akira最早出现于2023年3月,目标是教育、金融、房地产、制造业和咨询等多个行业的Windows系统。
与其他以企业为目标的勒索软件团伙一样,这些攻击者从被破坏的网络中窃取数据,并对文件进行加密,对受害者进行双重勒索,并要求支付高达数百万美元的赎金。
自启动以来,仅在北美就有30多名受害者受害,在5月底和现在提交的ID勒索软件中有两个明显的活动高峰。
▍Akira针对VMware ESXi
Linux版本的Akira是由恶意软件分析师rivitna首先发现的,他上周在VirusTotal上分享了一个新加密器的样本。
分析显示,该加密器的项目名称为“Esxi_Build_Esxi6”,表明攻击者专门针对VMware ESXi服务器设计了它。
例如,项目的一个源代码文件是
/mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h。
在过去的几年中,随着企业转向使用虚拟机作为服务器,以改进设备管理和有效利用资源,勒索软件团伙创建了很多定制的Linux加密器来加密VMware ESXi服务器。
通过瞄准ESXi服务器,攻击者可以在勒索软件加密器的一次运行中加密许多作为虚拟机运行的服务器。
然而,与其他VMware ESXi加密器不同,Akira的加密器不包含许多高级功能,例如在使用esxcli命令加密文件之前自动关闭虚拟机。
话虽如此,二进制文件确实支持一些命令行参数,允许攻击者自定义攻击:
-p——encryption_path(目标文件/文件夹路径)
-s——share_file(目标网络驱动器路径)
– n——encryption_percent(加密百分比)
——fork(为加密创建子进程)
-n参数特别值得注意,因为它允许攻击者定义每个文件上加密了多少数据。
这个设置越低,加密速度越快,但受害者更有可能在不支付赎金的情况下恢复他们的原始文件。
当加密文件时,Linux Akira加密器将针对以下扩展名:
.4dd, .accdb, .accdc, .accde, .accdr, .accdt, .accft, .adb, .ade, .adf, .adp, .arc, .ora, .alf, .ask, .btr, .bdf, .cat, .cdb, .ckp, .cma, .cpd, .dacpac, .dad, .dadiagrams, .daschema, .db-shm, .db-wa, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx, .dcb, .dct, .dcx, .dlis, .dp1, .dqy, .dsk, .dsn, .dtsx, .eco, .ecx, .edb, .epim, .exb, .fcd, .fdb, .fic, .fmp, .fmp12, .fmps, .fp3, .fp4, .fp5, .fp7, .fpt, .frm, .gdb, .grdb, .gwi, .hdb, .his, .idb, .ihx, .itdb, .itw, .jet, .jtx, .kdb, .kexi, .kexic, .kexis, .lgc, .lwx, .maf, .maq, .mar, .mas, .mav, .mdb, .mdf, .mpd, .mrg, .mud, .mwb, .myd, .ndf, .nnt, .nrmlib, .ns2, .ns3, .ns4, .nsf, .nv2, .nwdb, .nyf, .odb, .oqy, .orx, .owc, .p96, .p97, .pan, .pdb, .pdm, .pnz, .qry, .qvd, .rbf, .rctd, .rod, .rodx, .rpd, .rsd, .sas7bdat, .sbf, .scx, .sdb, .sdc, .sdf, .sis, .spq, .sqlite, .sqlite3, .sqlitedb, .temx, .tmd, .tps, .trc, .trm, .udb, .usr, .v12, .vis, .vpd, .vvv, .wdb, .wmdb, .wrk, .xdb, .xld, .xmlff, .abcddb, .abs, .abx, .accdw, .adn, .db2, .fm5, .hjt, .icg, .icr, .lut, .maw, .mdn, .mdt, .vdi, .vhd, .vmdk, .pvm, .vmem, .vmsn, .vmsd, .nvram, .vmx, .raw, .qcow2, .subvo, .bin, .vsv, .avhd, .vmrs, .vhdx, .avdx, .vmcx, .iso
奇怪的是,Linux锁似乎跳过了以下文件夹和文件,它们都与Windows文件夹和可执行文件有关,这表明Akira的Linux变种是从Windows版本移植过来的。
winnt, temp, thumb, $Recycle.Bin, $RECYCLE.BIN, System Volume Information, Boot, Windows, Trend Micro, .exe, .dll, .lnk, .sys, .msi
Cyble的分析师也发布了一份关于Akira Linux版本的报告,他们解释说,该加密器包括一个公开的RSA加密密钥,并利用多种对称密钥算法进行文件加密,包括AES、CAMELLIA、IDEA-CB和DES。
对称密钥用于加密受害者的文件,然后使用RSA公钥进行加密。这会阻止对解密密钥的访问,除非您拥有仅由攻击者持有的RSA私有解密密钥。
被重命名为.akira扩展名的加密文件,以及名为akira_readme.txt的硬编码赎金通知将在加密设备上的每个文件夹中创建。
Akira最近公布的受害者数量反映了其目标范围的扩大,这只会使全球组织面临的威胁更加严重。
不幸的是,在勒索软件组织中,增加Linux支持是一种日益增长的趋势,许多人使用现成的工具来做到这一点,因为这是一种简单且几乎万无一失的增加利润的方法。
其他使用Linux勒索软件加密器的勒索软件操作,主要针对VMware ESXi,包括Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX和Hive。
塞讯模拟攻击库现已包含Akira勒索软件的攻击手段,您可以在塞讯安全度量验证平台中搜索关键词“Akira”获取相关攻击模拟实验,您也可以搜索其他勒索软件关键词,如“LockBit”、“BlackMatter”等,从而验证您的安全防御体系是否能够有效应对这些组织所使用的各种攻击手法。