Kelompok Ransomware Akira, yang muncul sejak Maret 2023, telah berevolusi menjadi salah satu ancaman paling mematikan bagi sektor korporasi. Dalam peringatan bersama (Joint Cybersecurity Advisory) terbaru yang dirilis oleh FBI dan CISA, terungkap perubahan taktik yang signifikan: Akira tidak lagi hanya "bermain" di lingkungan Windows. Mereka kini secara agresif menargetkan jantung infrastruktur server modern, yaitu sistem operasi Linux dan platform virtualisasi Nutanix AHV.

Pergeseran ini sangat strategis dan berbahaya karena server Linux dan lingkungan virtualisasi seringkali menampung beban kerja (workload) paling kritis dalam sebuah perusahaan, seperti database utama, aplikasi web, dan sistem backup.

Baca Juga: Analisis Ancaman Siber Q4: Lonjakan Phishing 11.11 dan Evolusi Malware AI di Sektor Keuangan

CISA menemukan bahwa afiliasi Akira menggunakan varian encryptor khusus yang dirancang untuk arsitektur Linux (ELF files).

• Penargetan Virtual Machine (VM): Secara spesifik, Akira menargetkan server yang menjalankan Nutanix Acropolis Hypervisor (AHV). Dengan mengenkripsi host virtualisasi ini, penyerang dapat mengunci puluhan atau ratusan mesin virtual sekaligus dalam satu kali eksekusi. Ini jauh lebih efisien bagi penyerang dibandingkan harus meretas setiap VM satu per satu.
• Eksploitasi Command Line: Varian Linux Akira beroperasi melalui baris perintah (command line), memungkinkan penyerang untuk menyesuaikan persentase enkripsi. Mereka mungkin hanya mengenkripsi sebagian file besar untuk mempercepat proses perusakan sebelum terdeteksi.

Bagaimana Akira masuk ke dalam jaringan yang dijaga ketat? Laporan tersebut mengidentifikasi dua vektor utama:

1. VPN Tanpa MFA: Akira secara konsisten mengeksploitasi perangkat Cisco ASA dan SonicWall VPN yang tidak dikonfigurasi dengan Otentikasi Multi-Faktor (MFA). Mereka menggunakan kredensial yang dicuri atau melakukan serangan brute-force.
2. Kerentanan CVE: Eksploitasi celah keamanan lama yang belum ditambal, seperti CVE-2024-40766 pada perangkat SonicWall.

Serangan pada infrastruktur Linux/Nutanix seringkali lebih sulit dipulihkan dibandingkan Windows karena alat pemulihan (decryption tools) untuk varian Linux sering kali kurang stabil atau korup. Dampak bisnisnya adalah downtime total operasional perusahaan. Untuk itu, organisasi yang menggunakan Nutanix atau server Linux harus segera:

• Isolasi Backup: Pastikan backup data bersifat immutable (tidak bisa diedit/dihapus) dan tersimpan secara offline.
• Patching Prioritas: Segera tambal kerentanan pada perangkat gateway seperti VPN dan Firewall.
• MFA Wajib: Terapkan MFA pada semua akses jarak jauh tanpa pengecualian.
• Segmentasi Jaringan: Pisahkan jaringan manajemen hypervisor dari jaringan pengguna biasa untuk membatasi akses penyerang.