Američke vladine agencije upozoravaju da je Akira ransomware operacija počela da šifruje Nutanix AHV virtuelne mašine tokom napada.
U ažuriranom zajedničkom upozorenju CISA-e, FBI-a, DC3 centra Ministarstva odbrane, HHS-a i više međunarodnih partnera navodi se da je Akira proširila svoje mogućnosti šifrovanja na Nutanix AHV VM disk fajlove. U dokument su uključeni novi indikatori kompromitacije i taktike uočene tokom FBI istraga i izvještaja trećih strana sve do novembra 2025.
Šifrovanje Nutanix VM-ova tokom napada
Upozorenje navodi da su u junu 2025. hakeri iz grupe Akira prvi put šifrovali disk fajlove Nutanix AHV virtuelnih mašina, proširujući svoje mogućnosti van VMware ESXi i Hyper-V platformi zloupotrebom ranjivosti CVE-2024-40766 (CWE-284: nepravilna kontrola pristupa) koja pogađa SonicWall.
Nutanix AHV je Linux-bazirano rješenje za virtualizaciju koje pokreće i upravlja VM-ovima na Nutanix infrastrukturi. Pošto je široko rasprostranjen, nije iznenađenje da ransomware grupe počinju ciljati i ovu platformu, kao što to rade sa VMware ESXi i Hyper-V sistemima.
Iako CISA nije objavila kako tačno Akira cilja Nutanix AHV okruženja, Linux varijante Akira enkriptora analizirane od strane BleepingComputer pokušavaju da šifruju fajlove sa ekstenzijom .qcow2 – format virtuelnih diskova koji koristi AHV.
Međutim, Akira cilja .qcow2 ekstenziju još od kraja 2024. godine. Uz to, fokus na Nutanix VM-ove još uvijek nije na nivou njihovog razvijenog napada na VMware ESXi. Dok enkriptori za ESXi koriste esxcli i vim-cmd da uredno ugase virtuelne mašine prije šifrovanja diskova, kod Nutanix AHV-a Akira jednostavno šifruje .qcow2 fajlove bez korišćenja acli ili ncli komandi za gašenje VM-ova.
Ostala ažuriranja
Upozorenje takođe sadrži nove informacije o metodama upada i post-kompromitacionim tehnikama.
Za kompromitaciju mreža, Akira obično koristi ukradene ili bruteforce-ovane VPN i SSH kredencijale na izloženim ruterima, kao i zloupotrebu SonicWall ranjivosti CVE-2024-40766 na nezaštićenim firewall uređajima.
Nakon ulaska u mrežu, napadači zloupotrebljavaju ranjivosti CVE-2023-27532 ili CVE-2024-40711 na nepatchovanim Veeam Backup & Replication serverima kako bi pristupili i obrisali bekape.
Unutar mreže članovi Akira grupe koriste alate kao što su nltest, AnyDesk, LogMeIn, Impacket-ov wmiexec.py i VB skripte za izviđanje, lateralno kretanje i održavanje prisustva. Često uklanjaju EDR alate i kreiraju nove administratorske naloge.
U jednom incidentu, napadači su ugasili domain controller VM, kopirali njegov VMDK, priključili ga na novi VM i izvukli NTDS.dit i SYSTEM hive kako bi došli do administratorskog naloga domene.
Upozorenje dodaje da je „Megazord“ alat, ranije povezan sa Akira operacijama, napušten još 2024.
Akira je u pojedinim napadima iznosila podatke za samo dva sata, a za command-and-control često koristi tunelerske alate poput Ngrok-a kako bi uspostavila enkriptovane kanale koji zaobilaze mrežni nadzor.
Organizacijama se preporučuje da pregledaju ažurirane smjernice i primijene preporučene mjere zaštite. CISA i FBI i dalje savjetuju redovne offline bekape, obaveznu multifaktorsku autentifikaciju i brzo patchovanje ranjivosti koje se aktivno zloupotrebljavaju.
Izvor: BleepingComputer
