Malwares

Ransomware Akira para Linux mira em servidores VMware ESXi

Akira surgiu em março de 2023 e visava sistemas Windows

Jardeson Márcio
Dell encerra contrato de distribuição com a VMware após aquisição da Broadcom

A operação de ransomware Akira está usando um criptografador Linux para criptografar máquinas virtuais VMware ESXi em ataques de dupla extorsão contra empresas em todo o mundo. Esse ransomware surgiu pela primeira vez em março de 2023, visando sistemas Windows em vários setores, incluindo educação, finanças, imóveis, manufatura e consultoria.

Ransomware Akira atacando servidores VMware ESXi Linux

Como outras gangues de ransomware voltadas para empresas, os agentes de ameaças roubam dados de redes violadas e criptografam arquivos para realizar dupla extorsão nas vítimas, exigindo pagamentos que chegam a vários milhões de dólares. Desde o lançamento, a operação de ransomware fez mais de 30 vítimas apenas nos Estados Unidos, com dois picos de atividade distintos em envios de ID Ransomware no final de maio e no presente.

Imagem: Bleeping Computer

A versão Linux do Akira foi descoberta pela analista de malware rivitna, que compartilhou uma amostra do novo criptografador no VirusTotal (Via: Bleeping Computer) na semana passada. A análise do BleepingComputer do criptografador Linux mostra que ele tem um nome de projeto ‘Esxi_Build_Esxi6’, indicando que os agentes de ameaças o projetaram especificamente para atingir os servidores VMware ESXi. Por exemplo, um dos arquivos de código-fonte do projeto é  /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h.

Nos últimos anos, as gangues de ransomware criaram cada vez mais criptografadores Linux personalizados para criptografar servidores VMware ESXi à medida que a empresa passou a usar máquinas virtuais para servidores para melhorar o gerenciamento de dispositivos e o uso eficiente de recursos.

Ao direcionar os servidores ESXi, um agente de ameaça pode criptografar muitos servidores em execução como máquinas virtuais em uma única execução do criptografador de ransomware. No entanto, ao contrário de outros criptografadores VMware ESXi analisados pelo BleepingComputer, os criptografadores do Akira não contêm muitos recursos avançados, como o desligamento automático de máquinas virtuais antes de criptografar arquivos usando o comando esxcli.

Com isso dito, o binário suporta alguns argumentos de linha de comando que permitem que um invasor personalize seus ataques:

  • -p –encryption_path (caminhos de arquivo/pasta de destino)
  • -s –share_file (caminho da unidade de rede de destino)
  • – n –encryption_percent (porcentagem de criptografia)
  • –fork (cria um processo filho para criptografia)

O parâmetro -n é particularmente notável, pois permite que os invasores definam quantos dados são criptografados em cada arquivo. Quanto menor essa configuração, mais rápida a criptografia, mas maior a probabilidade de as vítimas conseguirem recuperar seus arquivos originais sem pagar resgate.

Ao criptografar arquivos, o criptografador Linux Akira terá como alvo as seguintes extensões:

Imagem: Bleeping Computer
TAGGED:
Share This Article
Por Jardeson Márcio
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Previous Article Como instalar o editor de texto wxEDID no Linux!
Next Article Conheça o Proton Pass, o gerenciador de senhas criptografadas gratuito da Proton
Sair da versão mobile