Linux version of Akira ransomware targets VMware ESXi servers
Akira ransomware ใช้ตัวเข้ารหัส Linux เพื่อเข้ารหัสเครื่อง VMware ESXi ในการโจมตีสองครั้งต่อบริษัททั่วโลก Akira เปิดตัวครั้งแรกในเดือนมีนาคม 2023 โดยกำหนดเป้าหมายไปที่ระบบ Windows ในอุตสาหกรรมต่างๆ รวมถึงการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา นับตั้งแต่เปิดตัว Akira ransomware ได้อ้างว่ามีเหยื่อมากกว่า 30 รายในสหรัฐอเมริกาเพียงแห่งเดียว โดยมีการโจมตีที่แตกต่างกันสองรายการที่เพิ่มขึ้นอย่างมากในการส่ง ID Ransomware ในช่วงสิ้นเดือนพฤษภาคมและปัจจุบัน
โดย Akira เวอร์ชัน Linux ถูกค้นพบครั้งแรกโดยนักวิเคราะห์มัลแวร์ rivitna ซึ่งมีการแชร์ตัวอย่างการเข้ารหัสใหม่บน VirusTotal เมื่อสัปดาห์ที่แล้ว การวิเคราะห์ตัวเข้ารหัส Linux ของ BleepingComputer แสดงให้เห็นว่ามีชื่อโปรเจ็กต์เป็น Esxi_Build_Esxi6 ซึ่งบ่งชี้ว่าผู้โจมตีออกแบบมาเพื่อกำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi โดยเฉพาะ ตัวอย่างเช่น ไฟล์ซอร์สโค้ดของโปรเจ็กต์ไฟล์หนึ่งคือ /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h ในช่วงไม่กี่ปีที่ผ่านมาแก๊งแรนซัมแวร์ได้สร้างตัวเข้ารหัส Linux แบบกำหนดเองมากขึ้นเพื่อเข้ารหัสเซิร์ฟเวอร์ VMware ESXi เนื่องจากองค์กรได้เปลี่ยนไปใช้เครื่องเสมือนสำหรับเซิร์ฟเวอร์เพื่อปรับปรุงการจัดการอุปกรณ์และการใช้ทรัพยากรอย่างมีประสิทธิภาพ ด้วยการกำหนดเป้าหมายเซิร์ฟเวอร์ ESXi ผู้โจมตีสามารถเข้ารหัสเซิร์ฟเวอร์จำนวนมากที่ทำงานเป็นเครื่องเสมือนในการเรียกใช้การเข้ารหัสแรนซัมแวร์เพียงครั้งเดียว อย่างไรก็ตามไม่เหมือนกับตัวเข้ารหัส VMware ESXi อื่นๆ ที่วิเคราะห์โดย BleepingComputer ตัวเข้ารหัสของ Akira ไม่มีคุณสมบัติขั้นสูงมากมาย เช่น การปิดเครื่อง VMware อัตโนมัติก่อนที่จะเข้ารหัสไฟล์โดยใช้คำสั่ง esxcli
จากที่กล่าวมาจะมีการใช้ command line ที่อนุญาตให้ผู้โจมตีใช้ในการปรับแต่งการโจมตีได้ดังนี้ -p --encryption_path (targeted file/folder paths) -s --share_file (targeted network drive path) - n --encryption_percent (percentage of encryption) --fork (create a child process for encryption) พารามิเตอร์ -n มีความโดดเด่นเป็นพิเศษเนื่องจากช่วยให้ผู้โจมตีสามารถกำหนดจำนวนข้อมูลที่เข้ารหัสในแต่ละไฟล์ ยิ่งตั้งค่าต่ำเท่าไร การเข้ารหัสก็จะยิ่งเร็วขึ้นเท่านั้น แต่ผู้ที่ตกเป็นเหยื่อจะสามารถกู้คืนไฟล์ต้นฉบับได้โดยไม่ต้องจ่ายค่าไถ่ก็จะยิ่งมีมากขึ้น ไฟล์ที่เข้ารหัสจะถูกเปลี่ยนชื่อให้มีนามสกุล .akira และบันทึกค่าไถ่แบบฮาร์ดโค้ดชื่อ akira_readme.txt จะถูกสร้างขึ้นในแต่ละโฟลเดอร์บนอุปกรณ์ที่ถูกเข้ารหัส
https://www.bleepingcomputer.com/news/security/linux-version-of-akira-ransomware-targets-vmware-esxi-servers/