Ένα νέο κύμα επιθέσεων ransomware που στοχεύουν πλατφόρμες εικονικών μηχανών έχει εμφανιστεί, με την ομάδα ransomware Akira να ηγείται μιας εκστρατείας κατά των συστημάτων Hyper-V και VMware ESXi.
Αυτές οι επιθέσεις αποτελούν μια αυξανόμενη απειλή για περιβάλλοντα επιχειρήσεων που βασίζονται στην εικονικοποίηση για κρίσιμες λειτουργίες.
Η ομάδα έχει αναπτύξει εξειδικευμένα εργαλεία για γρήγορη κρυπτογράφηση εικονικών μηχανών, προκαλώντας εκτεταμένη αναστάτωση σε στοχευμένα δίκτυα.
Το Akira ransomware στοχεύει το επίπεδο hypervisor, το οποίο διαχειρίζεται πολλαπλές εικονικές μηχανές σε έναν μόνο φυσικό διακομιστή.
Όταν οι εισβολείς αποκτούν πρόσβαση σε αυτά τα συστήματα, μπορούν να κρυπτογραφήσουν πολλές εικονικές μηχανές ταυτόχρονα, πολλαπλασιάζοντας τη ζημιά από μία μόνο εισβολή.
Αυτή η προσέγγιση έχει κάνει το κακόβουλο λογισμικό ιδιαίτερα αποτελεσματικό ενάντια σε οργανισμούς που διαθέτουν κέντρα δεδομένων και υπηρεσίες cloud.
Η διαδικασία κρυπτογράφησης κλειδώνει τα κρίσιμα για τις επιχειρήσεις συστήματα, αναγκάζοντας τις εταιρείες να αντιμετωπίσουν δύσκολες αποφάσεις σχετικά με την πληρωμή λύτρων ή την επαναφορά από αντίγραφα ασφαλείας.
Ερευνητές ασφάλειας Huntress αναγνωρισθείς αυτή η καμπάνια αφού παρατήρησε ασυνήθιστα μοτίβα δραστηριότητας σε περιβάλλοντα εικονικοποίησης.
Η ανάλυσή τους αποκάλυψε ότι ο όμιλος Akira έχει βελτιώσει τις τακτικές του για να εκμεταλλευτεί κοινά κενά ασφαλείας στις διαμορφώσεις hypervisor.
Το κακόβουλο λογισμικό εξαπλώνεται μέσω παραβιασμένων διαπιστευτηρίων και μη επιδιορθωμένων τρωτών σημείων, αποκτώντας πρόσβαση διαχειριστή στους κεντρικούς υπολογιστές ESXi και Hyper-V πριν από την ανάπτυξη της ρουτίνας κρυπτογράφησης.
Το ransomware αναζητά ρητά αρχεία δίσκου εικονικής μηχανής και δεδομένα διαμόρφωσης. Μόλις εντοπιστεί, ξεκινά τη διαδικασία κρυπτογράφησης και επιχειρεί να απενεργοποιήσει τις υπηρεσίες δημιουργίας αντιγράφων ασφαλείας και να διαγράψει στιγμιότυπα ανάκτησης.
Αυτή η διπλή προσέγγιση εξαλείφει τις εύκολες επιλογές αποκατάστασης, αυξάνοντας την πίεση στα θύματα να διαπραγματευτούν με τους εισβολείς.
Η κρυπτογράφηση σε εικονικά συστήματα είναι σημαντικά ταχύτερη από τις παραδοσιακές μεθόδους αρχείο προς αρχείο, που συχνά ολοκληρώνεται μέσα σε λίγες ώρες.
Εκτέλεση επίθεσης και συμβιβασμός συστήματος
Ο μηχανισμός μόλυνσης βασίζεται σε μεγάλο βαθμό στην αρχική πρόσβαση μέσω αδύναμων ή κλεμμένων διαπιστευτηρίων διαχείρισης.
Αφού δημιουργήσουν μια βάση, οι επιτιθέμενοι πραγματοποιούν αναγνώριση για να χαρτογραφήσουν την εικονική υποδομή και να εντοπίσουν στόχους υψηλής αξίας.
Στη συνέχεια, το κακόβουλο λογισμικό αναπτύσσει εκτελέσιμα για συγκεκριμένη πλατφόρμα, με ξεχωριστές εκδόσεις βελτιστοποιημένες για Hyper-V που βασίζεται σε Windows και ESXi που βασίζεται σε Linux.
Η παραλλαγή ESXi χρησιμοποιεί παραμέτρους γραμμής εντολών για τον έλεγχο της συμπεριφοράς κρυπτογράφησης, συμπεριλαμβανομένων επιλογών για παράλειψη συγκεκριμένων τύπων αρχείων ή στόχευση συγκεκριμένων εικονικών μηχανών.
Μια τυπική εντολή εκτέλεσης μπορεί να μοιάζει με:
text./akira_esxi --encryption-mode fast --exclude-vm backup-serverΑυτή η ευελιξία επιτρέπει στους εισβολείς να προσαρμόσουν την προσέγγισή τους με βάση το περιβάλλον στόχο, μεγιστοποιώντας τον αντίκτυπο, αποφεύγοντας τον εντοπισμό από συστήματα παρακολούθησης που μπορεί να παρακολουθούν ύποπτη δραστηριότητα.
