A operação de ransomware Akira usa um encryptor Linux para criptografar máquinas virtuais VMware ESXi em ataques de dupla extorsão contra empresas em todo o mundo.
Akira surgiu pela primeira vez em março de 2023, visando sistemas Windows em várias indústrias, incluindo educação, finanças, imóveis, manufatura e consultoria.
Assim como outras gangues de ransomware direcionadas a empresas, os atores maliciosos roubam dados de redes comprometidas e criptografam arquivos para realizar a dupla extorsão às vítimas, exigindo pagamentos que chegam a vários milhões de dólares.
Desde o lançamento, a operação de ransomware já fez mais de 30 vítimas apenas nos Estados Unidos, com dois picos distintos de atividade nas submissões do ID Ransomware no final de maio e no presente.
A versão Linux do Akira foi descoberta pela primeira vez pelo analista de malware rivitna, que compartilhou uma amostra do novo encryptor no VirusTotal na semana passada.
A análise do encryptor Linux feita pela BleepingComputer mostra que ele tem um nome de projeto de 'Esxi_Build_Esxi6', indicando que os atores maliciosos o projetaram especificamente para atacar servidores VMware ESXi.
Por exemplo, um dos arquivos de código-fonte do projeto é /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h.
Nos últimos anos, as gangues de ransomware cada vez mais criaram encryptors Linux personalizados para criptografar servidores VMware ESXi, à medida que as empresas passaram a usar máquinas virtuais para servidores visando aprimorar o gerenciamento de dispositivos e o uso eficiente de recursos.
Ao mirar servidores ESXi, um ator malicioso pode criptografar muitos servidores em execução como máquinas virtuais em uma única execução do encryptor de ransomware.
No entanto, ao contrário de outros encryptors VMware ESXi analisados pela BleepingComputer, os encryptors do Akira não contêm muitos recursos avançados, como o desligamento automático das máquinas virtuais antes da criptografia de arquivos usando o comando esxcli.
O parâmetro -n é especialmente notável, pois permite que os atacantes definam a quantidade de dados criptografados em cada arquivo.
Quanto menor essa configuração, mais rápida é a criptografia, mas também maior a probabilidade de as vítimas conseguirem recuperar seus arquivos originais sem pagar um resgate.
Curiosamente, o locker Linux parece ignorar as seguintes pastas e arquivos, todos relacionados a pastas e executáveis do Windows, indicando que a variante Linux do Akira foi adaptada da versão para Windows.
Os analistas da Cyble, que também publicaram um relatório sobre a versão Linux do Akira hoje, explicam que o encryptor inclui uma chave de criptografia RSA pública e utiliza múltiplos algoritmos de chave simétrica para a criptografia de arquivos, incluindo AES, CAMELLIA, IDEA-CB e DES.
A chave simétrica é usada para criptografar os arquivos das vítimas e, em seguida, é criptografada com a chave pública RSA.
Isso impede o acesso à chave de descriptografia, a menos que se tenha a chave privada de descriptografia RSA, que é mantida apenas pelos atacantes.
Os arquivos criptografados serão renomeados com a extensão .akira, e um aviso de resgate codificado em um arquivo chamado akira_readme.txt será criado em cada pasta no dispositivo criptografado.
A expansão do escopo de ataque do Akira é refletida no número de vítimas anunciadas pelo grupo recentemente, o que torna a ameaça mais grave para organizações em todo o mundo.
Infelizmente, adicionar suporte ao Linux é uma tendência crescente entre grupos de ransomware, muitos dos quais utilizam ferramentas prontamente disponíveis para fazê-lo, pois essa é uma maneira fácil e quase infalível de aumentar os lucros.
Outras operações de ransomware que utilizam encryptors de ransomware Linux, a maioria visando VMware ESXi, incluem Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX e Hive.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...