Akira: таинственная группировка вымогателей, которая нацелилась на Linux

Новая группировка Akira с одноимённой программой-вымогателем расширяет свою деятельность и нацеливается на платформы на базе Linux, добавляя к каждому зашифрованному файлу расширение «.akira».

Вымогатель Akira действует с марта 2023 года и нацелен на широкий спектр отраслей, в том числе образование, банковские, финансовые учреждения и страхование (BFSI), производство и профессиональные услуги. По данным Cyble, группа уже скомпрометировала 46 жертв, большинство из которых находятся в США.

Последняя обнаруженная атака была осуществлена с помощью вредоносного 64-битного исполняемого ELF-файла для Linux. Чтобы запустить исполняемый файл Akira, необходимо указать определенные параметры.

Необходимые параметры для запуска исполняемого файла Akira

После запуска Akira загружает предопределенный открытый ключ RSA для шифрования файлов в системе. После инициализации открытого ключа Akira загружает список предопределенных расширений файлов, которые будут зашифрованы.

Расширения файлов, на которые нацелена программа-вымогатель Akira

Akira использует рутинные операции, связанные с несколькими симметричными алгоритмами – AES, CAMELLIA, IDEA-CB и DES. При обнаружении файла с указанным расширением Akira шифрует его и оставляет заметку о выкупе на зараженной машине.

Во время атак Akira использует комбинацию шифрования AES и RSA для того, чтобы сделать файлы жертвы недоступными. Помимо шифрования файлов жертвы, Akira также удаляет теневые копии файлов, чтобы предотвратить возможность восстановления файлов другими способами.

Akira — это новая группировка вымогателей , активная как минимум с марта этого года. Отличительная особенность группы Akira — индивидуальный подход к определению размера денежного выкупа. Хакеры всегда тщательно анализируют размер и доходность компании и даже готовы сделать некоторые «скидки» в зависимости от обстоятельств.

Злоумышленники заражают целевые компьютеры через фишинговые письма, злонамеренную рекламу и уязвимости программного обеспечения. После заражения программа-вымогатель шифрует файлы на устройстве, добавляя к ним расширение «.akira», а затем оставляет на рабочем столе заметку с требованием выкупа и указанием адреса хакеров в тёмной сети.

Ранее южноафриканский банк развития (Development Bank of Southern Africa, DBSA), который занимается инвестициями в инфраструктурные проекты и образовательные проекты на территории Южной Африки, недавно сообщил, что мае стал жертвой вымогательской атаки группы Akira.

В свою очередь хакеры Akira заявили, что не имеют отношения к атаке на DBSA . По словам злоумышленников, системы банка были заражены другим «неизвестным злоумышленником», который использовал программу Akira без разрешения. Группировка предложила банку помочь в восстановлении систем и данных, а также пообещала, что похищенные данные не будут слиты в открытый доступ.