Шифровальщик Akira мутировал до Linux-версии, атакует серверы VMware ESXi

Шифровальщик Akira мутировал до Linux-версии, атакует серверы VMware ESXi

Шифровальщик Akira мутировал до Linux-версии, атакует серверы VMware ESXi

В новых атаках программы-вымогателя Akira операторы используют Linux-версию шифратора для компрометации виртуальных машин VMware ESXi. В целом злоумышленники прибегают к распространённой тактике двойного вымогательства, преследуя организации по всему миру.

Вредонос Akira впервые был обнаружен в марте 2023 года. Тогда с его помощью киберпреступники атаковали системы Windows на компьютерах компаний из сфер образования, здравоохранения, недвижимости, производства и консалтинга.

Первым делом операторы Akira вытаскивали внутренние данные организации, а уже потом шифровали системы. Это позволяло злоумышленникам требовать выкуп не только за расшифровку файлов, но и под угрозой слива украденных сведений.

Аппетит атакующих не отличался скромностью: в некоторых случаях преступники требовали несколько миллионов долларов выкупа. С момента запуска Akira удалось поразить 30 организаций только в США.

Linux-версию Akira обнаружил исследователь под ником rivitna. Он же поделился одним из семплов, разместив его на VirusTotal. Авторы этой версии зловреда присвоили ей имя «Esxi_Build_Esxi6», что может говорить об узкой направленности атак — шифроваться будут только серверы VMware ESXi. Например, имя одного из файлов — /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h.

Тем не менее, как выяснили в BleepingComputer, метод шифрования Akira не обладает особой функциональностью. В сравнении со своими собратьями вымогатель не завершает работу виртуальной машины перед шифрованием. Вот несколько аргументов командной строки, которые поддерживает Akira:

  • -p --encryption_path (пути целевых файлов/директорий)
  • -s --share_file (путь целевого сетевого диска)
  • - n --encryption_percent (процент шифрования)
  • --fork (создаёт дочерний процесс для шифрования)

При шифровании вымогатель атакует следующие расширения файлов:

.4dd, .accdb, .accdc, .accde, .accdr, .accdt, .accft, .adb, .ade, .adf, .adp, .arc, .ora, .alf, .ask, .btr, .bdf, .cat, .cdb, .ckp, .cma, .cpd, .dacpac, .dad, .dadiagrams, .daschema, .db-shm, .db-wa, .db3, .dbc, .dbf, .dbs, .dbt, .dbv, .dbx, .dcb, .dct, .dcx, .dlis, .dp1, .dqy, .dsk, .dsn, .dtsx, .eco, .ecx, .edb, .epim, .exb, .fcd, .fdb, .fic, .fmp, .fmp12, .fmps, .fp3, .fp4, .fp5, .fp7, .fpt, .frm, .gdb, .grdb, .gwi, .hdb, .his, .idb, .ihx, .itdb, .itw, .jet, .jtx, .kdb, .kexi, .kexic, .kexis, .lgc, .lwx, .maf, .maq, .mar, .mas, .mav, .mdb, .mdf, .mpd, .mrg, .mud, .mwb, .myd, .ndf, .nnt, .nrmlib, .ns2, .ns3, .ns4, .nsf, .nv2, .nwdb, .nyf, .odb, .oqy, .orx, .owc, .p96, .p97, .pan, .pdb, .pdm, .pnz, .qry, .qvd, .rbf, .rctd, .rod, .rodx, .rpd, .rsd, .sas7bdat, .sbf, .scx, .sdb, .sdc, .sdf, .sis, .spq, .sqlite, .sqlite3, .sqlitedb, .temx, .tmd, .tps, .trc, .trm, .udb, .usr, .v12, .vis, .vpd, .vvv, .wdb, .wmdb, .wrk, .xdb, .xld, .xmlff, .abcddb, .abs, .abx, .accdw, .adn, .db2, .fm5, .hjt, .icg, .icr, .lut, .maw, .mdn, .mdt, .vdi, .vhd, .vmdk, .pvm, .vmem, .vmsn, .vmsd, .nvram, .vmx, .raw, .qcow2, .subvo, .bin, .vsv, .avhd, .vmrs, .vhdx, .avdx, .vmcx, .iso

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Основная масса россиян никогда не меняла пароли в соцсетях

Как показало исследование социальной сети «Одноклассники», 40% российских пользователей соцсетей никогда не меняли пароль после первичной настройки учетной записи.

Согласно результатам исследования, которые оказались в распоряжении «Лента Ру», основная масса пользователей (40%) никогда не меняет пароли.

Еще 30% делает это только тогда, когда получает уведомление о том, что учетные данные оказались среди тех, которые «утекли».

Более-менее регулярно меняют пароли только 30% пользователей. При этом 22% делают это через каждые 3-6 месяцев, а 8% — ежемесячно.

Двухфакторную аутентификацию применяет около трети пользователей. Наиболее распространены одноразовые СМС-коды (27 процентов) и звонки для сброса (5 процентов). 

При этом четверть опрошенных не пользуется двухфакторной аутентификацией, хотя знает о такой возможности. Причем почти половина (43%) осознает, что отказ от двухфакторной аутентификации резко снижает уровень безопасности.

При создании паролей пользователи учитывают такие критерии, как легкость запоминания (30%), сложность пароля, включая цифры и символы (23%), а также использование паролей для каждого профиля (17%).

При этом более 35% не знают о возможностях менеджеров паролей, а 26% не видят необходимости в них. Только 8% применяют данный инструмент.

Как показало исследование, 37% пользователей оценивают безопасность своих учетных данных как среднюю, 14% — как высокую.

Проблема с невысоким качеством паролей носит глобальный характер. Как показало исследование NordVPN, на протяжении последних лет доминируют простые и легко подбираемые пароли.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru