Un pericoloso ransomware noto come Akira sta rapidamente diffondendosi e mirando alle piattaforme basate su Linux grazie ad una nuova versione del proprio software, causando gravi danni alle organizzazioni colpite.
Akira, che ha iniziato le sue operazioni nell’aprile 2023, è stato progettato per crittografare i file sensibili delle vittime e richiedere un riscatto per il ripristino dei dati.
Le organizzazioni coinvolte in una vasta gamma di settori che sono state prese di mira da Akira, comprendono istruzione, banche, servizi finanziari e assicurativi (BFSI), produzione, servizi professionali e molti altri.
Secondo un rapporto di Cyble, il gruppo responsabile del ransomware ha già compromesso 46 vittime, dislocate principalmente negli Stati Uniti.
Indice degli argomenti
La catena di attacco del ransomware Akira
Per eseguire l’attacco, il ransomware Akira sfrutta un file eseguibile Linux Linkable Format (ELF) a 64 bit dannoso.
Affinché l’eseguibile di Akira possa essere avviato, è necessario fornire parametri specifici come il percorso dei file/cartelle da crittografare, il percorso dell’unità di rete condivisa da crittografare, la percentuale dei file da crittografare e l’opzione per creare un processo figlio per la crittografia.
Come evidenziato da BleepingComputer, uno degli ultimi sample individuati di questo malware è mirato a colpire le macchine virtuali Vmware ESXi. Uno dei punti fondamentali che hanno fatto crescere questo sospetto, è proprio il nome che i criminali hanno dato al progetto del cryptor utilizzato (condiviso mediante VirusTotal da un ricercatore di sicurezza): “Esxi_Build_Esxi6”.
Una volta avviato, il ransomware Akira carica una chiave pubblica RSA per crittografare i file presenti nel sistema. Successivamente, il ransomware esegue una lista predefinita di estensioni di file che intende prendere di mira e crittografare. Akira utilizza una combinazione di algoritmi a chiave simmetrica come AES, CAMELLIA, IDEA-CB e DES per crittografare i file individuati con le estensioni specificate.
Dopo che un file viene crittografato, il ransomware lascia una nota sulla macchina infetta che contiene istruzioni dettagliate su come contattare il gruppo dietro l’attacco per negoziare il riscatto e ottenere le indicazioni per decrittografare i dati.
Inoltre, Akira non si limita solo a crittografare i file delle vittime, ma elimina anche le copie Shadow Volume dei file. Questo ostacola ulteriormente gli sforzi degli utenti per recuperare i propri dati utilizzando metodi alternativi.
Misure di mitigazione del rischio
La proliferazione di ransomware come Akira e il loro adattamento a nuove piattaforme, come Linux, riflette una tendenza preoccupante tra i gruppi di ransomware.
Le organizzazioni devono adottare misure di sicurezza robuste, inclusa una protezione aggiornata, backup regolari e consapevolezza delle minacce per proteggere i loro dati da attacchi sempre più sofisticati.
Il ransomware Akira rappresenta una minaccia significativa per le organizzazioni che utilizzano piattaforme Linux.
È fondamentale che le organizzazioni adottino una strategia di sicurezza solida e siano pronte ad affrontare tali attacchi, proteggendo i propri dati sensibili e mitigando i danni causati da tali minacce in rapida evoluzione.
