<\/p>\n
Akira\u00a0pojawi\u0142a si\u0119 po raz pierwszy w marcu 2023 roku<\/a>, atakuj\u0105c systemy Windows w r\u00f3\u017cnych bran\u017cach, w tym w edukacji, finansach, nieruchomo\u015bciach, produkcji i doradztwie.<\/p>\n Podobnie jak inne gangi ransomware atakuj\u0105ce przedsi\u0119biorstwa, cyberprzest\u0119pcy kradn\u0105 dane z naruszonych sieci i szyfruj\u0105 pliki, aby przeprowadzi\u0107 podw\u00f3jne wymuszenia na ofiarach, \u017c\u0105daj\u0105c p\u0142atno\u015bci si\u0119gaj\u0105cych czasem nawet kilku milion\u00f3w dolar\u00f3w.<\/p>\n Od momentu uruchomienia operacja ransomware dotkn\u0119\u0142a ponad 30 ofiar w samych Stanach Zjednoczonych, z dwoma wyra\u017anymi skokami aktywno\u015bci w zg\u0142oszeniach\u00a0ID Ransomware<\/a>\u00a0pod koniec maja i obecnie.<\/p>\n Aktywno\u015b\u0107 Akiry w ostatnich miesi\u0105cach<\/strong><\/p>\n <\/p>\n Je\u015bli jednak zaczniemy dodawa\u0107 uko\u015bniki do adresu URL, kt\u00f3ry znajduje si\u0119 przed operatorem @, takim jak https:\/\/google.com\/search@bing.com, nasza przegl\u0105darka zacznie analizowa\u0107 wszystko po uko\u015bniku jako \u015bcie\u017ck\u0119, a teraz cz\u0119\u015b\u0107 adresu URL bing.com zostanie zignorowana i zostaniemy przeniesieni do google.com.<\/p>\n <\/p>\n Akira atakuje VMware ESXi<\/strong><\/p>\n <\/p>\n Wersja Akiry na Linuksa zosta\u0142a po raz pierwszy odkryta przez analityka szkodliwego oprogramowania\u00a0rivitna<\/a>, kt\u00f3ry udost\u0119pni\u0142 ostatnio pr\u00f3bk\u0119 nowego szyfratora na\u00a0VirusTotal<\/a>.<\/p>\n <\/p>\n Analiza programu szyfruj\u0105cego Linuksa przeprowadzona przez BleepingComputer pokazuje, \u017ce ma on nazw\u0119 projektu “Esxi_Build_Esxi6”, co wskazuje, \u017ce cyberprzest\u0119pcy zaprojektowali go specjalnie do atakowania serwer\u00f3w VMware ESXi.<\/p>\n Na przyk\u0142ad jednym z plik\u00f3w kodu \u017ar\u00f3d\u0142owego projektu jest \/mnt\/d\/vcprojects\/Esxi_Build_Esxi6\/argh.h.<\/p>\n W ci\u0105gu ostatnich kilku lat gangi ransomware coraz cz\u0119\u015bciej tworzy\u0142y niestandardowe programy szyfruj\u0105ce Linuksa do szyfrowania serwer\u00f3w VMware ESXi, poniewa\u017c przedsi\u0119biorstwo zacz\u0119\u0142o u\u017cywa\u0107 maszyn wirtualnych jako serwer\u00f3w w celu lepszego zarz\u0105dzania urz\u0105dzeniami i efektywnego wykorzystania zasob\u00f3w.<\/p>\n <\/p>\n Jak wygl\u0105da atak?<\/strong><\/p>\n <\/p>\n Atakuj\u0105c serwery ESXi, ugrupowanie cyberprzest\u0119pcze mo\u017ce zaszyfrowa\u0107 wiele serwer\u00f3w dzia\u0142aj\u0105cych jako maszyny wirtualne jednym uruchomieniem programu szyfruj\u0105cego ransomware. Mimo wszystko, plik binarny obs\u0142uguje kilka argument\u00f3w wiersza polece\u0144, kt\u00f3re pozwalaj\u0105 atakuj\u0105cemu dostosowa\u0107 swoje ataki:<\/p>\n \u2022 \u00a0 \u00a0-p –encryption_path (docelowe \u015bcie\u017cki plik\u00f3w\/folder\u00f3w) Parametr -n jest szczeg\u00f3lnie godny uwagi, poniewa\u017c pozwala atakuj\u0105cym okre\u015bli\u0107, ile danych jest zaszyfrowanych w ka\u017cdym pliku.<\/p>\n Im ni\u017csze to ustawienie, tym szybsze szyfrowanie, ale tym bardziej prawdopodobne jest, \u017ce ofiary b\u0119d\u0105 w stanie\u00a0odzyska\u0107 swoje oryginalne pliki<\/a>\u00a0bez p\u0142acenia okupu.<\/p>\n <\/p>\n Pliki zaszyfrowane przez Akir\u0119 na serwerze Linux<\/strong><\/p>\n <\/p>\n Podczas szyfrowania plik\u00f3w program szyfruj\u0105cy Linux Akira b\u0119dzie atakowa\u0142 nast\u0119puj\u0105ce rozszerzenia:<\/p>\n .4dd, .accdb, accdc, accde, accdr, accdt, accft, adb, ade, adf, adp, arc, ora, alf, ask, btr, bdf, cat, cdb, ckp, cma, cpd, dacpac, dad, dadiagrams, .db-wa, db3, dbc, dbc, .db.dbf, dbs, dbt, dbv, dbx, dcb, dct, dc, dlx, dlis, dp1, dqy, dsk, dsn, dtsx, eco, ecx, edb, epim, exb, fcd, fmp1, .fp4, .fp5, .fp7, .fpt, .frm, .gdb, .grdb, .gwi, .hdb, .his, .idb, .ihx, .itdb, .itw, .jet, .jtx, .kdb, .kexi, .kexic, .kexis, .lgc, .lwx, .maf, .maq, .mar, .mas, .mav, .mdb, .mdf, .mpd, .mrg, .mud, .mwb, .myd, .ndf, .nnt, .nrmlib, .ns2, .ns3, .ns4, .nsf, .nv2, .nwdb, .nyf, .odb, .oqy, .orx, .owc, .p96, .p97, .pan, .pdb, .pdm, .pnz, .qry, .qvd, .rbf, .rctd, .rod, .rodx, .rpd, .rsd, .sas7bdat, .sbf, .scx, .sdb, .sdc, .sdf, .sis, .spq, .sqlite, .sqlite3, .sqlitedb, .temx, .tmd, .tps, .trc, .trm, .udb, .usr, .v12, .vis, .vpd, .vvv, .wdb, .wmdb, .wrk, .xdb, .xld, .xmlff, .abcddb, .abs, .abx, .accdw, .adn, .db2, .fm5, .hjt, .icg, .icr, .lut, .maw, .mdn, .mdt, .vdi, .vhd, .vmdk, .pvm, .vmem, .vmsn, .vmsd, .nvram, .vmx, .raw, qcow2, .subvo, .bin, .vsv, .avhd, .vmrs, .vhdx, .avdx, .vmcx, .iso<\/p>\n O dziwo koder Linuksa wydaje si\u0119 pomija\u0107 nast\u0119puj\u0105ce foldery i pliki, wszystkie zwi\u0105zane z folderami i plikami wykonywalnymi systemu Windows, co wskazuje, \u017ce wariant Linuksa Akiry jest portem z wersji Windows.<\/p>\n winnt, temp, thumb, $Recycle.Bin, $RECYCLE. BIN, System Volume Information, Boot, Windows, Trend Micro, .exe, .dll, .lnk, .sys, .msi<\/p>\n <\/p>\n Zrozumie\u0107 szyfrator<\/strong><\/p>\n <\/p>\n Analitycy Cyble, kt\u00f3rzy r\u00f3wnie\u017c\u00a0opublikowali raport<\/a>\u00a0na temat linuksowej wersji Akira, wyja\u015bniaj\u0105, \u017ce szyfrator zawiera publiczny klucz szyfrowania RSA i wykorzystuje wiele algorytm\u00f3w klucza symetrycznego do szyfrowania plik\u00f3w, w tym AES, CAMELLIA, IDEA-CB i DES.<\/p>\n Klucz symetryczny jest u\u017cywany do szyfrowania plik\u00f3w ofiar, a nast\u0119pnie jest szyfrowany za pomoc\u0105 klucza publicznego RSA. Uniemo\u017cliwia to dost\u0119p do klucza deszyfruj\u0105cego, chyba \u017ce prywatny klucz deszyfruj\u0105cy RSA jest przechowywany tylko przez osoby atakuj\u0105ce.<\/p>\n Publiczny klucz RSA u\u017cywany przez Akir\u0119 (Cyble<\/em>)<\/strong><\/p>\n <\/p>\n Nazwa zaszyfrowanych plik\u00f3w zostanie zmieniona na rozszerzenie .akira, a w ka\u017cdym folderze na zaszyfrowanym urz\u0105dzeniu zostanie utworzona notatka z \u017c\u0105daniem okupu o nazwie akira_readme.txt.<\/p>\n Notatka z \u017c\u0105daniem okupu Akiry spad\u0142a na serwery Linuksa<\/strong><\/p>\n <\/p>\n Rozszerzenie zakresu atak\u00f3w Akiry znajduje odzwierciedlenie w liczbie ofiar og\u0142oszonej ostatnio przez grup\u0119, co tylko zwi\u0119ksza zagro\u017cenie dla organizacji na ca\u0142ym \u015bwiecie.<\/p>\n Niestety, dodawanie obs\u0142ugi Linuksa jest rosn\u0105cym trendem w\u015br\u00f3d grup ransomware, a wiele z nich u\u017cywa do tego\u0142atwo dost\u0119pnych narz\u0119dzi<\/a>, poniewa\u017c jest to prawie niezawodny spos\u00f3b na zwi\u0119kszenie zysk\u00f3w.<\/p>\n Inne operacje ransomware, kt\u00f3re wykorzystuj\u0105 programy szyfruj\u0105ce ransomware Linux, z kt\u00f3rych wi\u0119kszo\u015b\u0107 obiera za cel VMware ESXi, to\u00a0Royal<\/a>,\u00a0Black Basta<\/a>,\u00a0LockBit<\/a>,\u00a0BlackMatter<\/a>,\u00a0AvosLocker<\/a>,\u00a0REvil<\/a>,\u00a0HelloKitty<\/a>,\u00a0RansomEXX<\/a>\u00a0i\u00a0Ul<\/a>.<\/p>\n <\/p>\n Je\u015bli chcesz dowiedzie\u0107 si\u0119, jak zabezpieczy\u0107 swoj\u0105 firm\u0119 przed atakiem ransomware i ochroni\u0107 serwery Linuxa, skontaktuj si\u0119 z naszymi ekspertami.<\/p>\n","protected":false},"excerpt":{"rendered":" Operacja ransomware Akira to stosunkowo m\u0142oda grupa cyberprzest\u0119pc\u00f3w, kt\u00f3ra wykorzystuje program szyfruj\u0105cy Linuksa do szyfrowania maszyn wirtualnych VMware ESXi w atakach podw\u00f3jnego wymuszenia na firmy na ca\u0142ym \u015bwiecie. Co warto o niej wiedzie\u0107? Akira \u2013 jak dzia\u0142a? Akira\u00a0pojawi\u0142a si\u0119 po raz pierwszy w marcu 2023 roku, atakuj\u0105c systemy Windows w r\u00f3\u017cnych bran\u017cach, w […]<\/p>\n","protected":false},"author":2,"featured_media":4345,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9,14],"tags":[],"class_list":["post-4344","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bazawiedy","category-phishing"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4344"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4344"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4344\/revisions"}],"predecessor-version":[{"id":4346,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4344\/revisions\/4346"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/4345"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4344"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4344"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4344"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"4akira\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/4akira.png?width=605&height=188&name=4akira.png\")
<\/p>\n
\nJednak w przeciwie\u0144stwie do innych program\u00f3w szyfruj\u0105cych VMware ESXi, programy szyfruj\u0105ce Akiry nie zawieraj\u0105 wielu zaawansowanych funkcji, takich jak automatyczne zamykanie maszyn wirtualnych przed szyfrowaniem plik\u00f3w za pomoc\u0105 polecenia esxcli.<\/p>\n
\n\u2022 \u00a0 \u00a0-s –share_file (\u015bcie\u017cka docelowego dysku sieciowego)
\n\u2022 \u00a0 \u00a0– n –encryption_percent (procent szyfrowania)
\n\u2022 \u00a0 \u00a0–fork (utw\u00f3rz proces podrz\u0119dny do szyfrowania)<\/p>\n![\"3akira\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/3akira.jpg?width=603&height=208&name=3akira.jpg\")
<\/strong><\/p>\n![\"2akira\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/2akira.jpg?width=603&height=230&name=2akira.jpg\")
<\/strong><\/p>\n![\"1akira\"](\"https:\/\/cybergen.pl\/hs-fs\/hubfs\/1akira.png?width=603&height=393&name=1akira.png\")
<\/strong><\/p>\n