Akira ransomware เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์จาก rivitna ที่รายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา
Akira ถูกพบครั้งแรกในเดือนมีนาคม 2023 โดยมีเป้าหมายเป็นระบบ Windows ในอุตสาหกรรมต่าง ๆ รวมถึงการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา
เช่นเดียวกับกลุ่มแรนซัมแวร์ที่โจมตีองค์กรอื่น ๆ ผู้โจมตีจะขโมยข้อมูลจากเครือข่ายขององค์กรที่ถูกโจมตี และเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ซ้ำกับเหยื่อ โดยเรียกร้องเงินที่สูงถึงหลายล้านดอลลาร์
นับตั้งแต่เปิดตัว มีการเปิดเผยว่ามีเหยื่อมากกว่า 30 รายในสหรัฐอเมริกาเพียงแห่งเดียว โดยมีกิจกรรมที่แตกต่างกันสองรายการที่เพิ่มขึ้นอย่างมากใน ID Ransomware ในช่วงปลายเดือนพฤษภาคม และปัจจุบัน
Akira ตั้งเป้าไปที่ VMware ESXi
Akira เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์ rivitna ซึ่งรายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา
การวิเคราะห์ตัวเข้ารหัส Linux ของ BleepingComputer แสดงให้เห็นว่ามีชื่อโปรเจ็กต์เป็น 'Esxi_Build_Esxi6' ซึ่งบ่งบอกว่าผู้โจมตีออกแบบมาเพื่อกำหนดเป้าหมายไปยัง VMware ESXi เซิร์ฟเวอร์โดยเฉพาะ
ตัวอย่างเช่น ไฟล์ซอร์สโค้ดของโปรเจ็กต์ไฟล์หนึ่งคือ /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h
ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มแรนซัมแวร์ได้สร้างตัวเข้ารหัส Linux ที่ออกแบบเองมากขึ้นเพื่อเข้ารหัส VMware ESXi เซิร์ฟเวอร์ เนื่องจากองค์กรได้เปลี่ยนไปใช้ Virtual Machine สำหรับเซิร์ฟเวอร์ เพื่อปรับปรุงการจัดการอุปกรณ์ และการใช้ทรัพยากรอย่างมีประสิทธิภาพ
ด้วยการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi ผู้โจมตีสามารถเข้ารหัส Virtual Machine เซิร์ฟเวอร์จำนวนมากด้วยการเรียกใช้การเข้ารหัสแรนซัมแวร์เพียงครั้งเดียว
อย่างไรก็ตาม ไม่เหมือนกับตัวเข้ารหัส VMware ESXi อื่น ๆ ที่ถูกวิเคราะห์โดย BleepingComputer ตัวเข้ารหัสของ Akira ไม่มีคุณสมบัติขั้นสูงมากมาย เช่น การปิดเครื่อง Virtual Machine อัตโนมัติก่อนที่จะเข้ารหัสไฟล์โดยใช้คำสั่ง esxcli
การขยายขอบเขตการกำหนดเป้าหมายของ Akira สะท้อนให้เห็นจากจำนวนเหยื่อที่ประกาศโดยกลุ่มเมื่อเร็ว ๆ นี้ ซึ่งทำให้ภัยคุกคามรุนแรงขึ้นสำหรับองค์กรทั่วโลก
การปฏิบัติการเกี่ยวกับแรนซัมแวร์อื่น ๆ ที่ใช้ตัวเข้ารหัสแรนซัมแวร์เวอร์ชัน Linux โดยส่วนใหญ่มุ่งเป้าที่ VMware ESXi ได้แก่ Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX และ Hive
ที่มา : bleepingcomputer
You must be logged in to post a comment.