Când o amenințare cibernetică își mută linia frontului de pe VMware și Hyper-V pe alte platforme la fel de răspândite, e important să știm despre ce este vorba: agenții guvernamentale americane au raportat că gruparea de ransomware Akira a început să cripteze mașini virtuale Nutanix AHV, iar alerta provine de la CISA, FBI, DC3, HHS și parteneri internaționali, bazată pe investigații și rapoarte până în noiembrie 2025. Istoric vorbind, atacurile care vizează platforme de virtualizare nu sunt noi, VMware ESXi și Hyper-V au fost des ținte, dar acum focoasele s-au mutat și spre mediile AHV, ceea ce schimbă puțin calculele pentru administratorii IT.
Agențiile au publicat recent un ghid comun în care explică că, în iunie 2025, actorii Akira au început să cripteze fișierele de disc ale mașinilor virtuale Nutanix AHV. Ei au exploatat o vulnerabilitate SonicWall identificată ca CVE-2024-40766, o problemă de control al accesului, pentru a-și extinde activitatea dincolo de VMware ESXi și Hyper-V. Pentru cei care nu se ocupă zilnic de infrastructură, Nutanix AHV este o platformă de virtualizare bazată pe Linux care rulează mașini virtuale pe infrastructura Nutanix, utilizată pe scară largă în multe companii, și tocmai de aceea atacatorii au început să o vizeze, la fel cum s-a întâmplat anterior cu alți hypervizori populari.
Din probele analizate, encryptorii Linux asociați Akira încearcă să cripteze fișiere cu extensia .qcow2, formatul de disc virtual folosit de AHV. Totuși, extensia .qcow2 nu este ceva nou în lista țintelor: Akira a vizat astfel de fișiere încă de la sfârșitul anului 2024. Diferența este că metoda folosită împotriva AHV pare mai simplistă comparativ cu atacurile asupra ESXi. Pe ESXi, encryptorul folosește utilitare precum esxcli și vim-cmd pentru a opri grațios VM-urile înainte de a cripta discurile; în cazul Nutanix AHV, atacatorii par să cripteze direct fișierele .qcow2 fără a apela la comenzi specifice platformei, precum acli sau ncli, pentru a opri mașinile virtuale în siguranță.
Actualizarea din avertisment include și informații noi despre tehnicile de intrare și mișcările post-compromitere. Pentru a pătrunde în rețele corporative, afiliații Akira folosesc frecvent credențiale furate sau obținute prin forțare brută pentru VPN și SSH pe routere expuse și exploatează vulnerabilități SonicWall (din nou CVE-2024-40766) la firewall-uri. Odată în interior, atacatorii exploatează servere Veeam Backup & Replication nepatch-uite (CVE-2023-27532 sau CVE-2024-40711) pentru a accesa și a șterge copii de rezervă, complicând foarte mult recuperarea.
În rețea, Akira a fost observat folosind utilitare și servicii cunoscute pentru recunoaștere, mișcare laterală și stabilirea persistenței: nltest, AnyDesk, LogMeIn, scripturi Impacket precum wmiexec.py, dar și scripturi VB. Actorii deseori elimină instrumentele de detecție de la endpoint și creează conturi administrative noi pentru a menține accesul în mediul compromis. Un scenariu descris în investigații arată cum atacatorii au oprit o mașină virtuală ce găzduia un controler de domeniu, au copiat fișierele VMDK, le-au atașat la o altă VM și au extras fișierul NTDS.dit și cheia SYSTEM pentru a obține un cont de administrator de domeniu. Unele unelte sau proiecte asociate anterior cu Akira, precum „Megazord”, par să fi fost abandonate încă din 2024.
Timpii de exfiltrare sunt alarmant de scurți: în unele incidente date au fost scoase în doar două ore. Pentru canale de comandă și control, Akira a folosit servicii de tunelare precum Ngrok pentru a crea conexiuni criptate care ocolesc monitorizarea perimetrală. Raportul recomandă ca organizațiile să consulte ghidul actualizat și să implementeze măsurile sugerate: copii offline regulate, autentificare multifactor obligatorie și patch-uri rapide pentru vulnerabilitățile cunoscute, printre altele.
Pe lângă avertisment, e util să reținem concret ce a fost menționat: CVE-2024-40766 asociată SonicWall, CVE-2023-27532 și CVE-2024-40711 pentru Veeam, extensia .qcow2 vizată de criptare și instrumente precum Ngrok, AnyDesk sau Impacket folosite în mișcări laterale. Aceste detalii devin pași practici: verificați expunerea routerelor și firewall-urilor, asigurați-vă că serverele Veeam sunt patch-uite, păstrați copii de rezervă offline și monitorizați accesul administrativ și autentificările VPN/SSH. Care dintre aceste măsuri consideri că ar trebui prioritizată imediat în infrastructura ta?
Fii primul care comentează