Akira 勒索病毒回归老旧策略

关键要点

• Akira 勒索病毒团伙在经过一段时间的无解脱与新加密器实验后，似乎开始重新采用旧有的策略。
• 最近，他们利用新的 Rust 基础的 "Akira v2" 加密器对 ESXi 系统进行攻击，且显示出对 Linux 环境的威胁。
• Akira 仍在使用沿用的 C++ 版本，并对此进行了一些更新。
• 入侵手法上，Akira 利用 VPN 凭证和特定的已知漏洞进行初始访问及后续攻击。

Akira 勒索病毒团伙似乎在经过一段时间的纯粹勒索与新加密器的实验后，正在重新使用旧有策略。根据思科 Talos 研究人员在 中分析，他们提供了该团伙最近动态的时间线，包括在 2023 年底和 2024 年初，从双重勒索转变为纯勒索攻击的明显变化。

“我们以低至中等的信心评估，这一变化部分原因是开发者花时间进一步重新设计他们的加密器，”研究人员指出。

这种明显的重新设计表现为 Rust 基础的 "Akira v2"，该版本自 2024 年 1 月以来便已被使用，它用于 。此版本采用 rust-crypto 0.2.36 库进行加密，而原本的 Akira勒索病毒则是用 C++ 编写，并使用 Crypto++ 库进行加密过程，研究人员进一步解释。

版本对比：

Akira v2 对加密文件添加了 .akiranew 的扩展名，而旧版本使用 .akira。上传到 VirusTotal 的 Akira v2后续版本显示其加密器仍在不断发展，包括扩展了恶意软件的命令行参数能力。

Akira 的参与者在 2024 年初使用 Akira v2 针对 Linux 环境，以及另一种 Rust 基础的加密器 Megazord 针对 Windows 系统。然而，在 2024 年 9 月初，新的 C++ 版本的 Akira 勒索病毒开始出现，Megazord 和 Akira v2的传播似乎逐渐减少，研究人员表示。

新版本的 C++ Akira 与 2023 年 8 月之前的版本相似，同时也包含对 Windows 和 Linux 变体的更新。此外，新的版本使用了更快的 ChaCha8 算法进行加密，相比于 Akira v2，使用更少的四分之一轮运算，更加注重速度。

研究人员指出，C++ 版本在 Windows 和 Linux 操作系统之间的“跨平台一致性”可能是该团伙决定回归旧勒索病毒策略的一个因素。

“这也表明开发者在高度适应性方面表现突出，愿意在必要时重新采用经过考验的技术，以确保操作的稳定性。在动态威胁环境中，务实的适应性为勒索病毒团伙提供了显著的优势，使他们能够维持一个强大而可靠的代码库，同时不断寻找新方法来规避检测和增强功能，”思科 Talos 研究人员写道。

Akira 勒索病毒在 2024 年目标漏洞

思科 Talos 的报告还描述了 Akira 的攻击链，包括该团伙用于初始访问和后期利用活动的漏洞。

Akira 常用被破坏的 VPN 凭证作为初始访问手段，但同时似乎还在针对一些网络设备，这些设备存在被跟踪为 的 SonicWallSonicOS RCE 漏洞，和被跟踪为 [CVE-2023-48788](https://nvd.nist.gov/v