Американски правителствени агенции предупреждават за разширени способности на Akira ransomware, насочени вече не само към VMware ESXi и Hyper-V, но и към Nutanix AHV. Съвместният бюлетин от CISA, FBI, DC3, HHS и международни партньори описва значително развитие в тактиките на групата, наблюдавано в инциденти от юни до ноември 2025 г.

Akira вече криптира Nutanix AHV дискови файлове

През юни 2025 г. за първи път е потвърдена атака, при която Akira успешно криптира .qcow2 дискови файлове, използвани от Nutanix AHV. По този начин групата разширява обхвата си отвъд традиционните цели като ESXi, където от години използва утвърдени техники за спиране на машини и криптиране на datastore ресурси.

Ключовият вектор на проникване в този случай е уязвимостта CVE-2024-40766 в SonicWall устройства, даваща възможност за неоторизиран достъп.

За разлика от ESXi, където ransom операторите използват esxcli и vim-cmd за коректно изключване на виртуалните машини, при Nutanix те пропускат платформено-специфичните команди (acli, ncli) и директно криптират дисковите файлове. Това показва по-ранен етап на развитие на техните инструменти за AHV.

Ескалация на техниките и векторите за достъп

Актуализираният бюлетин описва и други усъвършенствани тактики:

Чести методи за първоначален достъп

• Откраднати или brute-force VPN и SSH креденшъли

• Експлоатиране на CVE-2024-40766 върху SonicWall защитни стени

• Компрометиране на Veeam чрез CVE-2023-27532 или CVE-2024-40711 за достъп и изтриване на бекъпи

Тактики след компрометиране

Akira операторите:

• използват инструменти като nltest, AnyDesk, LogMeIn, Impacket wmiexec.py и VB скриптове;

• премахват EDR решения;

• създават нови администраторски акаунти;

• се придвижват странично до ключови части от мрежата.

В един от случаите заплахата изключва домейн контролер, копира VMDK файловете му, възстановява ги в нова VM и екстрахира NTDS.dit и SYSTEM hive, за да извлече домейн администраторски пароли.

Бързо извличане на данни и скрити комуникации

Организации, анализирани от федералните служби, са станали свидетели на изтичане на данни в рамките на само два часа след началото на атаката. За команден и контролен трафик Akira разчита на инструменти за тунелиране като Ngrok, които създават шифровани канали, трудно откриваеми от стандартни мрежови системи.

Докладът подчертава също, че инструментът Megazord, свързван с Akira, не се използва след 2024 г., вероятно заменен от по-съвременни вътрешни утилитита.

Препоръчани мерки за защита

Агенциите припомнят критични мерки, необходими за ограничаване на риска от компрометиране:

• редовни офлайн резервни копия;

• задължително многофакторно удостоверяване;

• бързо прилагане на пачове по уязвими SonicWall, Veeam и виртуализационни среди;

• мониторинг на подозрителни тунели (например Ngrok);

• засилване на контрола върху администраторските акаунти и достъпите до критични системи.

Инфраструктурите с виртуални машини върху Nutanix AHV трябва да засилят мониторинга за необичайна активност по .qcow2 файлове и да ограничат възможността за директен достъп до datastore пътища.

Разширяването на Akira към Nutanix AHV показва ясна тенденция: ransomware групите вече таргетират всяка масово използвана виртуализационна платформа. Това не е изолиран инцидент, а естествено развитие на техните операции в условията на все по-динамична и разпокъсана IT инфраструктура.