В новых атаках программы-вымогателя Akira операторы используют Linux-версию шифратора для компрометации виртуальных машин VMware ESXi. В целом злоумышленники прибегают к распространённой тактике двойного вымогательства, преследуя организации по всему миру.
Вредонос Akira впервые был обнаружен в марте 2023 года. Тогда с его помощью киберпреступники атаковали системы Windows на компьютерах компаний из сфер образования, здравоохранения, недвижимости, производства и консалтинга.
Первым делом операторы Akira вытаскивали внутренние данные организации, а уже потом шифровали системы. Это позволяло злоумышленникам требовать выкуп не только за расшифровку файлов, но и под угрозой слива украденных сведений.
Аппетит атакующих не отличался скромностью: в некоторых случаях преступники требовали несколько миллионов долларов выкупа. С момента запуска Akira удалось поразить 30 организаций только в США.
Linux-версию Akira обнаружил исследователь под ником rivitna. Он же поделился одним из семплов, разместив его на VirusTotal. Авторы этой версии зловреда присвоили ей имя «Esxi_Build_Esxi6», что может говорить об узкой направленности атак — шифроваться будут только серверы VMware ESXi. Например, имя одного из файлов — /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h.
Тем не менее, как выяснили в BleepingComputer, метод шифрования Akira не обладает особой функциональностью. В сравнении со своими собратьями вымогатель не завершает работу виртуальной машины перед шифрованием. Вот несколько аргументов командной строки, которые поддерживает Akira:
- -p --encryption_path (пути целевых файлов/директорий)
- -s --share_file (путь целевого сетевого диска)
- - n --encryption_percent (процент шифрования)
- --fork (создаёт дочерний процесс для шифрования)
При шифровании вымогатель атакует следующие расширения файлов:
.4dd, .accdb, .accdc, .accde, .accdr, .accdt, .accft, .adb, .ade, .adf, .adp, .arc, .ora, .alf, .ask, .btr, .bdf, .cat, .cdb, .ckp, .cma, .cpd, .dacpac, .dad, .dadiagrams, .daschema, .db-shm, .db-wa, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx, .dcb, .dct, .dcx, .dlis, .dp1, .dqy, .dsk, .dsn, .dtsx, .eco, .ecx, .edb, .epim, .exb, .fcd, .fdb, .fic, .fmp, .fmp12, .fmps, .fp3, .fp4, .fp5, .fp7, .fpt, .frm, .gdb, .grdb, .gwi, .hdb, .his, .idb, .ihx, .itdb, .itw, .jet, .jtx, .kdb, .kexi, .kexic, .kexis, .lgc, .lwx, .maf, .maq, .mar, .mas, .mav, .mdb, .mdf, .mpd, .mrg, .mud, .mwb, .myd, .ndf, .nnt, .nrmlib, .ns2, .ns3, .ns4, .nsf, .nv2, .nwdb, .nyf, .odb, .oqy, .orx, .owc, .p96, .p97, .pan, .pdb, .pdm, .pnz, .qry, .qvd, .rbf, .rctd, .rod, .rodx, .rpd, .rsd, .sas7bdat, .sbf, .scx, .sdb, .sdc, .sdf, .sis, .spq, .sqlite, .sqlite3, .sqlitedb, .temx, .tmd, .tps, .trc, .trm, .udb, .usr, .v12, .vis, .vpd, .vvv, .wdb, .wmdb, .wrk, .xdb, .xld, .xmlff, .abcddb, .abs, .abx, .accdw, .adn, .db2, .fm5, .hjt, .icg, .icr, .lut, .maw, .mdn, .mdt, .vdi, .vhd, .vmdk, .pvm, .vmem, .vmsn, .vmsd, .nvram, .vmx, .raw, .qcow2, .subvo, .bin, .vsv, .avhd, .vmrs, .vhdx, .avdx, .vmcx, .iso
