Amerika Birleşik Devletleri hükümet ajansları, Akira fidye yazılımının Nutanix AHV sanal makinelerini hedef alarak şifreleme gerçekleştirdiğine dair uyarılarda bulundu. CISA, FBI, Savunma Bakanlığı Siber Suçlar Merkezi (DC3), Sağlık ve İnsan Hizmetleri Departmanı (HHS) ve birkaç uluslararası ortak tarafından yayınlanan güncellenmiş ortak tavsiyeye göre, Akira fidye yazılımı, Nutanix AHV VM disk dosyalarını şifrelemek için yeteneklerini genişletti.
Nutanix Sanal Makinelerini Hedef Alan Akira Fidye Yazılımı
Güncellenmiş tavsiye, Haziran 2025’te Akira’nın Nutanix AHV sanal makinelerinin disk dosyalarını şifrelemeye başladığını belirtiyor. Akira’nın bu yeni saldırı yöntemi, VMware ESXi ve Hyper-V’nin ötesine geçerek, SonicWall zafiyetinden (CVE-2024-40766) yararlanarak gerçekleştirildi.
Nutanix’in AHV platformu, sanal makineleri yönetmek için geniş kullanıma sahip bir Linux tabanlı sanallaştırma çözümüdür. Bu nedenle, fidye yazılımı çetelerinin VMware ESXi ve Hyper-V’ye olduğu gibi Nutanix üzerinde de sanal makineleri hedef alması şaşırtıcı değildir.
Akira’nın Hedef Alım Yöntemleri
CISA, Akira’nın Nutanix AHV ortamlarını nasıl hedef aldığına dair kesin bilgiler paylaşmamış olsa da, Akira Linux şifreleyicileri, Nutanix AHV’nin sanal disk formatı olan .qcow2 uzantısına sahip dosyaları şifreleme girişimlerinde bulunmuşlardır. Bu uzantı, en azından 2024 yılı sonlarından itibaren Akira şifreleyicileri tarafından hedef alınmıştır.
Ayrıca, Akira’nın Nutanix sanal makinelerine olan ilgisi, VMware ESXi’ye olan ilgisi kadar gelişmiş değildir. Linux şifreleyici, VMware ESXi sanal makinelerini şifrelemeden önce esxcli ve vim-cmd komutlarını kullanarak işlem yaparken, Nutanix AHV için doğrudan .qcow2 dosyalarını şifrelemektedir.
Güncellenen Bilgiler ve Öneriler
Güncellenen tavsiye, Akira’nın ağlara sızma yöntemleri ve sonrası taktikleri hakkında yeni bilgiler içermektedir. Akira, genellikle çalınmış veya zorla elde edilmiş VPN ve SSH kimlik bilgilerini kullanarak hedef ağlara sızmaktadır. Buna ek olarak, güncel olmayan Veeam Backup & Replication sunucularındaki zayıflıkları (CVE-2023-27532 ve CVE-2024-40711) kullanarak yedeklere erişim sağlamakta ve bunları silmektedir.
Ağ içerisindeki hareketleri sırasında Akira üyeleri, sistemlere yayılmak ve kalıcılık sağlamak için birçok araç kullanmaktadır. Bu araçlar arasında nltest, AnyDesk, LogMeIn ve VB betikleri bulunmaktadır. Ayrıca, son saldırılarda saldırganların, bir alan denetleyici sanal makinesini kapatıp VMDK dosyalarını kopyaladıkları bildirilmiştir.
Akira, verileri sadece iki saat içinde dışarı aktarabilmekte ve komut-kontrol işlemlerinde, İzleme aşamalarını atlatmak için Ngrok gibi tünelleme araçlarını kullanmaktadır. CISA ve FBI, kuruluşların en son rehberlikleri gözden geçirmelerini ve önerilen önlemleri uygulamalarını tavsiye etmektedir. Ayrıca, düzenli çevrimdışı yedeklemelerin oluşturulması, çok faktörlü kimlik doğrulamanın zorunlu kılınması ve bilinen zayıflıkların hızlı bir şekilde yamalanması da önerilmektedir.
