勒索軟體集團持續調整其戰術，將目標從傳統的端點系統轉向企業核心的虛擬化基礎設施。這種趨勢在Akira勒索軟體最近的演變中得到了明確體現，促使美國政府機構發出緊急警告，強調該威脅對託管環境構成的嚴重風險。

美國政府機構警告稱，Akira 勒索軟體已擴展其加密能力，可攻擊 Nutanix AHV VM 磁碟檔案。虛擬化平臺如 Nutanix AHV、VMware ESXi 等因其集中承載多個關鍵系統的特性，已成為勒索軟體攻擊的有利目標。該公告警告指出：「在 2025年 6 月的一起事件中，Akira 威脅行為者首次加密了 Nutanix AHV VM 磁碟文件，透過濫用 SonicWall 漏洞——通用漏洞披露 (CVE)-2024-40766 [通用弱點枚舉 (CWE)-284：存取能力控制不當]，將其擴展到了 ESX 之外。」這項發現證實，Akira正在積極開發和部署針對Linux環境的專業加密工具，以確保其攻擊範圍覆蓋不同的虛擬化平臺。

Nutanix的AHV平臺是一種基於Linux的虛擬化解決方案，其虛擬磁碟檔案通常採用 .qcow2 格式。雖然 CISA 沒有透露 Akira 如何針對 Nutanix AHV 環境，但 BleepingComputer 分析的 Akira Linux 加密器嘗試加密帶有.qcow2擴展名的文件，而 .qcow2 是 Nutanix AHV 使用的虛擬磁碟格式。事實上，自 2024 年底以來，.qcow2 檔案副檔名一直是 Akira Linux加密器的目標。儘管如此，目前的分析顯示，Akira針對Nutanix AHV的加密操作不如其針對VMware ESXi的攻擊成熟，後者會利用esxcli等命令來優先關閉虛擬機。

為了入侵企業網絡，Akira 的關聯人員通常會在暴露的路由器上使用被盜或暴力破解的 VPN 和 SSH 憑證，並利用暴露的防火牆上的 SonicWall 漏洞(CVE-2024-40766)。這些初期存取方法，是其後續橫向移動和部署加密器的關鍵。CISA公告指出，先前與 Akira 營運相關的「Megazord」工具似乎自 2024 年以來已被棄用，這表明該團體正在不斷調整和優化其工具集。此外，Akira 威脅行為者在網路內部也展現了複雜的戰術，包括利用 Veeam Backup & Replication 伺服器中的漏洞來刪除備份，並使用 Ngrok 等隧道工具進行命令與控制，以繞過周邊監控。

面對Akira勒索軟體不斷升級的威脅，CISA建議敦促各組織審查更新後的指南並實施建議的緩解措施。CISA和 FBI 也繼續建議定期進行離線備份、強制執行多因素身份驗證，並快速修補已知的被利用漏洞。這三項基礎性但關鍵的安全措施，是防範包括Akira在內的高級勒索軟體攻擊、保護核心虛擬化資產的必要防線。

註：
Nutanix 的 AHV 平台是基於 Linux 的虛擬化解決方案，可在 Nutanix 的基礎架構上運作和管理虛擬機器。由於該平台部署廣泛，勒索軟體團夥開始攻擊該平台上的虛擬機器也就不足為奇了，就像他們攻擊 VMware ESXi 和 Hyper-V 一樣。

資料來源：https://www.bleepingcomputer.com/news/security/cisa-warns-of-akira-ransomware-linux-encryptor-targeting-nutanix-vms/