Οι κυβερνητικές υπηρεσίες των ΗΠΑ προειδοποιούν ότι η επιχείρηση ransomware Akira έχει εντοπιστεί να κρυπτογραφεί εικονικές μηχανές Nutanix AHV σε επιθέσεις.
Μια ενημερωμένη κοινή συμβουλή από την CISA, το FBI, το Υπουργείο Άμυνας του Κέντρου Κυβερνοεγκλήματος (DC3), το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) και αρκετούς διεθνείς συνεργάτες ειδοποιεί ότι το Akira ransomware έχει επεκτείνει τις δυνατότητες κρυπτογράφησης των αρχείων δίσκων Nutanix AHV VM.
Η συμβουλευτική περιλαμβάνει νέους δείκτες συμβιβασμού και τακτικές που παρατηρήθηκαν μέσω των ερευνών του FBI και των αναφορών τρίτων μόλις τον Νοέμβριο του 2025.
Κρυπτογράφηση Nutanix VM σε επιθέσεις
Η συμβουλευτική προειδοποιεί ότι τον Ιούνιο του 2025 οι ηθοποιοί του Akira άρχισαν να κρυπτογραφούν αρχεία δίσκου για εικονικές μηχανές Nutanix AHV.
«Σε ένα περιστατικό τον Ιούνιο του 2025, οι ηθοποιοί απειλών του Akira κρυπτογραφούσαν αρχεία δίσκων Nutanix AHV VM για πρώτη φορά, επεκτείνοντας τις δυνατότητές τους πέρα από το VMware ESXi και το Hyper-V με κατάχρηση κοινών ευπαθειών και εκθέσεων (CVE)-2024-40766 [Common Weakness Enumeration (CWE)-284: Improper Access Control]μια ευπάθεια του SonicWall», αναφέρει το ενημερωμένη συμβουλευτική.
Η πλατφόρμα AHV της Nutanix είναι μια λύση εικονικοποίησης που βασίζεται σε Linux που τρέχει και διαχειρίζεται εικονικές μηχανές στην υποδομή της Nutanix.
Καθώς είναι ευρέως διαδεδομένο, δεν αποτελεί έκπληξη το γεγονός ότι οι συμμορίες ransomware θα αρχίσουν να στοχεύουν εικονικές μηχανές σε αυτήν την πλατφόρμα, όπως κάνουν με το VMware ESXi και το Hyper-V.
Ενώ η CISA δεν έχει κοινοποιήσει τον τρόπο με τον οποίο η Akira στοχεύει περιβάλλοντα Nutanix AHV, οι κρυπτογραφητές Akira Linux που αναλύονται από το BleepingComputer προσπαθούν να κρυπτογραφήσουν αρχεία με .qcow2 επέκταση, η οποία είναι η μορφή εικονικού δίσκου που χρησιμοποιείται από τη Nutanix AHV.
Ωστόσο, η επέκταση αρχείου .qcow2 έχει στοχοποιηθεί από τους κρυπτογραφητές Akira Linux τουλάχιστον από τα τέλη του 2024.
Επιπλέον, η εστίαση του Akira στα Nutanix VMs δεν είναι επίσης τόσο ανεπτυγμένη όσο η στόχευση του VMware ESXi
Ο κρυπτογραφητής Linux χρησιμοποιεί esxcli και vim-cmd να κλείσει με χάρη τις εικονικές μηχανές ESXi πριν κρυπτογραφήσει τους δίσκους τους, αλλά για το Nutanix AHV, απλώς κρυπτογραφεί τα αρχεία .qcow2 απευθείας και δεν χρησιμοποιεί τα αρχεία της πλατφόρμας acli ή ncli εντολές για να απενεργοποιήσετε τα AHV VM.
Άλλες ενημερώσεις
Η ενημερωμένη συμβουλευτική περιλαμβάνει επίσης νέες πληροφορίες σχετικά με τις μεθόδους εισβολής του Akira και τις τακτικές μετά τον συμβιβασμό.
Για να παραβιάσουν τα εταιρικά δίκτυα, οι θυγατρικές της Akira χρησιμοποιούν συνήθως κλεμμένα ή βίαια διαπιστευτήρια VPN και SSH σε εκτεθειμένους δρομολογητές και εκμεταλλεύονται τα τρωτά σημεία του SonicWall (CVE-2024-40766) σε εκτεθειμένα τείχη προστασίας.
Μέσα σε ένα δίκτυο, τα μέλη του Akira έχουν παρατηρηθεί να χρησιμοποιούν βοηθητικά προγράμματα όπως nltest, AnyDesk, LogMeIn, Impacket’s wmiexec.py και σενάρια VB για να πραγματοποιήσουν αναγνώριση, να εξαπλωθούν πλευρικά σε άλλα συστήματα και να εδραιώσουν την επιμονή. Οι φορείς απειλών συνήθως αφαιρούν επίσης εργαλεία ανίχνευσης τελικού σημείου και δημιουργούν νέους λογαριασμούς διαχείρισης για επιμονή.
Σε ένα περιστατικό, οι εισβολείς απενεργοποίησαν έναν ελεγκτή τομέα VM, αντέγραψαν τα αρχεία VMDK του, τα επισύναψαν σε ένα νέο VM και εξήγαγαν το αρχείο NTDS.dit και την ομάδα SYSTEM για να αποκτήσουν έναν λογαριασμό διαχειριστή τομέα.
Η συμβουλευτική σημειώνει ότι το εργαλείο “Megazord” που προηγουμένως συνδέθηκε με τις επιχειρήσεις Akira φαίνεται να έχει εγκαταλειφθεί από το 2024.
Ο Akira εξάγει δεδομένα σε μόλις δύο ώρες κατά τη διάρκεια ορισμένων επιθέσεων, και για την εντολή και τον έλεγχο έχει βασιστεί σε εργαλεία διάνοιξης σήραγγας όπως το Ngrok για τη δημιουργία κρυπτογραφημένων καναλιών που παρακάμπτουν την περιμετρική παρακολούθηση.
Η συμβουλευτική παροτρύνει τους οργανισμούς να επανεξετάσουν τις ενημερωμένες οδηγίες και να εφαρμόσουν τους προτεινόμενους μετριασμούς.
Η CISA και το FBI συνεχίζουν επίσης να προτείνουν τακτικά αντίγραφα ασφαλείας εκτός σύνδεσης, επιβεβλημένο έλεγχο ταυτότητας πολλαπλών παραγόντων και γρήγορη επιδιόρθωση γνωστών τρωτών σημείων εκμετάλλευσης.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
