باج‌افزار Akira سرورهای VMware ESXi را هدف قرار می‌دهد

عملیات باج‌افزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشین‌های مجازی VMware ESXi در حملات اخاذی مضاعف علیه شرکت‌ها در سراسر جهان استفاده می‌کند. Akira برای اولین بار در مارس 2023 ظهور کرد و سیستم‌های ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره هدف قرار داد.
مانند سایر باج‌افزارهایی که سازمان‌ها را هدف قرار می‌دهند، بازیگران تهدید داده‌ها را از شبکه‌های مورد رخنه به سرقت می‌برند و فایل‌ها را رمزگذاری می‌کنند تا از قربانیان، اخاذی مضاعف انجام دهند و خواهان پرداخت‌هایی تا چندین میلیون دلار هستند. 
نسخه لینوکس آکیرا اولین بار توسط تحلیلگر بدافزار به نام rivitna کشف شد که هفته گذشته نمونه‌ای از رمزگذار جدید را در VirusTotal به اشتراک گذاشت. تجزیه و تحلیل BleepingComputer از رمزگذار لینوکس نشان می‌دهد که نام پروژه Esxi_Build_Esxi6 است که نشان می‌دهد عوامل تهدید آن را به‌طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی کرده‌اند. برای مثال یکی از فایل‌های کد منبع پروژه /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.
در چند سال گذشته، گروه‌های باج‌افزار به طور فزاینده‌ای رمزگذارهای لینوکس سفارشی را برای رمزگذاری سرورهای VMware ESXi ایجاد کرده‌اند، زیرا شرکت‌ها به دلیل  بهبود مدیریت دستگاه و استفاده کارآمد از منابع به سمت استفاده از سرورهای ماشین مجازی رفته‌اند. با هدف قرار دادن سرورهای ESXi، یک عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی در حال اجرا هستند، در یک اجرای رمزگذار باج‌افزار رمزگذاری کند.
با این حال، بر خلاف دیگر رمزگذارهای VMware ESXi که توسط BleepingComputer آنالیز می‌شوند، رمزگذارهای Akira دارای ویژگی‌های پیشرفته زیادی نیستند، مانند خاموش شدن خودکار ماشین‌های مجازی قبل از رمزگذاری فایل‌ها با استفاده از دستور esxcli.
p --encryption_path -)مسیرهای فایل/پوشه هدف)
)-s --share_file مسیر درایو شبکه هدف)
n --encryption_percent -(درصد رمزگذاری)
fork--)ایجاد فرآیند فرزند برای رمزگذاری)
پارامتر -n به ویژه قابل توجه است زیرا به مهاجمان اجازه می‌دهد تا تعیین کنند چه مقدار داده در هر فایل رمزگذاری شود. هرچه مقدار این پارامتر کمتر باشد، رمزگذاری سریع‌تر است، اما احتمال اینکه قربانیان بتوانند فایل‌های اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر می‌شود.

گسترش دامنه هدف‌گیری آکیرا در تعداد قربانیانی که اخیراً توسط این گروه اعلام‌ شده است، منعکس شده است که نشان دهنده شدیدتر شدن تهدید برای سازمان‌ها در سراسر جهان است. متأسفانه، افزودن پشتیبانی لینوکس یک روند رو به رشد در میان گروه‌های باج‌افزار است و بسیاری از آنها از ابزارهای در دسترس برای انجام آن استفاده می‌کنند، زیرا این یک راه آسان و تقریباً بی‌خطر برای افزایش سود است.
سایر عملیات‌های باج‌افزاری که از رمزگذارهای باج‌افزار لینوکس استفاده می‌کنند و بیشتر VMware ESXi را هدف قرار می‌دهند، عبارت‌اند از: Royal، Black Basta، LockBit، BlackMatter، AvosLocker، REvil، HelloKitty، RansomEXX و Hive.

منبع: