研究人员发现了Akira勒索软件的Linux变种,标志着该组织在战术上的转变。
在最近的一份报告中,Cyble研究和情报实验室(CRIL)详细介绍了Akira勒索软件的一个复杂的Linux变种,引起了人们对Linux环境越来越容易受到网络威胁的关注。
Akira勒索软件集团一直积极针对各行业的众多组织,对他们的网络安全和敏感数据构成重大威胁。
Akira的Linux版本勒索软件:过渡期
自2023年4月出现以来,Akira勒索软件已经危害了总共46名公开披露的受害者。
值得注意的是,自从CRIL上次报告Akira勒索软件以来,又有30名受害者被确定,这表明该组织的影响力不断扩大。这些受害者大多数在美国。
受影响的组织横跨各个行业,包括教育、银行、金融服务和保险(BFSI)、制造和专业服务等。
恶意Linux可执行文件是一个64位Linux可执行和可链接格式(ELF)文件。
要执行Akira可执行文件,必须提供特定的参数,例如要加密的文件/文件夹的路径、要加密的共享网络驱动器的路径、要加密的文件的百分比,以及创建用于加密的子进程。
Akira的Linux版本勒索软件:技术细节
要运行Akira勒索软件的Linux版本,需要提供特定的指令(称为参数)。
这些参数包括要加密的文件或文件夹的位置、要加密的共享网络驱动器、要加密的文件的百分比以及创建用于加密的子进程等。
当勒索软件被执行时,它使用一种称为RSA的特殊加密类型来锁定计算机上的文件。这种加密使文件在没有解密密钥的情况下不可读。
勒索软件有一个特定的文件类型列表,它的加密目标。这些文件类型包括各种扩展名,如文档、数据库、图像等。如果文件与这些扩展名中的任何一个匹配,勒索软件就会对其进行加密。
Akira勒索软件的Linux变体使用不同的对称密钥算法(包括AES、CAMELLIA、IDEA-CB和DES)来执行加密过程。这些算法帮助扰乱文件中的数据,使其无法访问。
一旦文件被加密,勒索软件会将”.akira”文件扩展名添加到每个受损文件中。文件扩展名的这种更改有助于识别已加密的文件。
在执行时,Akira勒索软件加载一个预定的RSA公钥来启动加密过程。
该勒索软件针对特定的文件扩展名,使用多种对称密钥算法加密文件,包括AES、CAMELLIA、IDEA-CB和DES。
每个被入侵的文件都被附加上“.akira”文件扩展名,并在受害者的系统中存入一封勒索信。
Akira勒索软件,最新Linux
Akira勒索软件的Linux变种凸显了Linux平台上的系统越来越容易受到网络威胁。
因此,使用Linux环境的组织必须保持警惕,并实施强大的安全措施,以防止勒索软件攻击。
要防范Akira勒索软件的Linux变种,实施以下网络安全最佳做法至关重要:
定期备份做法:对重要数据进行定期备份,并确保它们存储在离线或单独的网络中。这一预防措施允许用户在遭受攻击时无需支付赎金即可恢复数据。
自动软件更新:在所有连接的设备(包括计算机、移动设备和物联网设备)上启用自动软件更新功能。定期的软件更新通常包括关键的安全补丁,以解决被勒索软件和其他恶意软件利用的漏洞。
知名杀毒软件和互联网安全软件:在所有连接的设备上安装并定期更新知名杀毒软件和互联网安全软件包。这些软件解决方案可以检测和缓解勒索软件威胁,提供额外的保护层。
谨慎处理链接和电子邮件附件:避免点击不受信任的链接或打开来历不明或可疑的电子邮件附件。在与这些链接和附件交互之前,请验证其真实性,因为它们可能会成为勒索软件感染的网关。