Η ομάδα ransomware Akira, μια από τις εξέχουσες δυνάμεις στον τομέα του Ransomware-as-a-Service (RaaS) από τον Μάρτιο του 2023, έχει κλιμακώσει τις δραστηριότητές της λανσάροντας μια νέα παραλλαγή Linux. Αυτή η τελευταία εξέλιξη στοχεύει διακομιστές VMware ESXi, ενισχύοντας περαιτέρω την απειλή που αντιπροσωπεύει η ομάδα.
Δείτε επίσης: Το νέο Pumakit malware επηρεάζει συστήματα Linux
Αρχικά επικεντρωμένη στα συστήματα Windows, η Akira ransomware διεύρυνε το πεδίο δράσης της τον Απρίλιο του 2023, αναπτύσσοντας έναν κρυπτογραφητή ειδικά σχεδιασμένο για Linux, με στόχο τους διακομιστές VMware ESXi.
Αυτός ο προσανατολισμός αντικατοπτρίζει μια ευρύτερη τάση στις ομάδες ransomware, οι οποίες στρέφουν την προσοχή τους στα εικονικά περιβάλλοντα, αναγνωρίζοντας τον κρίσιμο ρόλο τους στη διαχείριση της εταιρικής υποδομής. Αν ένας εισβολέας παραβιάσει έναν hypervisor ESXi, έχει τη δυνατότητα να κρυπτογραφήσει ταυτόχρονα πολλές εικονικές μηχανές (VMs), μεγιστοποιώντας έτσι τον αντίκτυπο της επίθεσης.
Δείτε ακόμα: Bootkitty: Το UEFI malware χρησιμοποιεί το LogoFAIL και στοχεύει Linux
Η νέα παραλλαγή Linux, μέρος του εξελισσόμενου οπλοστασίου της Akira ransomware, αντιπροσωπεύει μια στρατηγική αλλαγή στις λειτουργίες τους. Αρχικά στοχεύοντας συστήματα Windows με κρυπτογράφηση που βασίζεται σε C++, η Akira έχει τώρα επεκτείνει την εμβέλειά της σε περιβάλλοντα Linux και VMware ESXi. Αυτή η προσέγγιση πολλαπλών πλατφορμών καταδεικνύει την προσαρμοστικότητα και την τεχνική πολυπλοκότητα της ομάδας.
Το ransomware προσθέτει την επέκταση .akira στα κρυπτογραφημένα αρχεία, εφαρμόζοντας ταυτόχρονα μερική κρυπτογράφηση. Αυτή η τακτική όχι μόνο διατηρεί υψηλές ταχύτητες λειτουργίας αλλά και μειώνει τις πιθανότητες ανίχνευσης από τα συστήματα ασφαλείας.
Η έκδοση Linux με την ονομασία Akira v2 είναι αναπτυγμένη σε Rust, μια ισχυρή γλώσσα προγραμματισμού που ξεχωρίζει για τις εξαιρετικές επιδόσεις και τα προηγμένα χαρακτηριστικά ασφαλείας της.
Αυτή η επιλογή κάνει το ransomware πιο δύσκολο στην ανάλυση και τον εντοπισμό. Το Akira v2 προσαρτά επίσης την επέκταση “.akiranew” σε κρυπτογραφημένα αρχεία και χρησιμοποιεί μια προσαρμοσμένη διαδικασία κρυπτογράφησης που στοχεύει συγκεκριμένους τύπους αρχείων.
Δείτε επίσης: WolfsBane: Νέο Linux backdoor χρησιμοποιείται από τους Κινέζους hackers Gelsemium
Το Linux Ransomware αποτελεί έναν αυξανόμενο κίνδυνο για συστήματα που χρησιμοποιούν το λειτουργικό σύστημα Linux. Αν και παραδοσιακά οι επιθέσεις ransomware στόχευαν κυρίως τα Windows, οι κακόβουλοι δράστες, όπως η Akira, πλέον στρέφονται όλο και περισσότερο σε περιβάλλοντα Linux, ειδικά σε διακομιστές που φιλοξενούν κρίσιμες υποδομές. Οι επιθέσεις αυτές συνήθως περιλαμβάνουν την κρυπτογράφηση αρχείων και την απαίτηση λύτρων για την αποκατάσταση της πρόσβασης. Για να μειωθεί ο κίνδυνος, συνιστάται η τακτική λήψη αντιγράφων ασφαλείας, η άμεση εγκατάσταση ενημερώσεων ασφαλείας και η χρήση ισχυρών πρακτικών κυβερνοασφάλειας για την προστασία των δεδομένων και των δικτύων.
Πηγή: cybersecuritynews
