CISA Peringatkan Akira Ransomware Kini Targetkan VM Nutanix AHV

Lembaga pemerintah Amerika Serikat memperingatkan bahwa operasi ransomware Akira kini memperluas kemampuan enkripsinya dengan menargetkan mesin virtual Nutanix AHV. Peringatan ini disampaikan dalam pembaruan joint advisory yang diterbitkan oleh CISA, FBI, DC3, HHS, serta sejumlah mitra internasional, setelah ditemukannya indikator kompromi terbaru hingga November 2025.

Menurut temuan investigasi FBI dan laporan pihak ketiga, pelaku Akira mulai mengenkripsi file disk Nutanix AHV sejak Juni 2025. Dalam insiden tersebut, mereka memanfaatkan kerentanan akses kendali yang tidak tepat pada SonicWall (CVE-2024-40766) untuk memperluas serangan mereka—melampaui target tradisional seperti VMware ESXi dan Hyper-V.

Nutanix AHV merupakan platform virtualisasi berbasis Linux yang banyak digunakan di berbagai lingkungan infrastruktur modern. Karena popularitasnya, para pelaku ransomware diperkirakan akan menjadikan platform ini sasaran, sebagaimana yang telah terjadi pada ekosistem ESXi dan Hyper-V. Analisis terhadap Akira Linux encryptor menunjukkan bahwa malware ini menargetkan file berekstensi .qcow2, format disk virtual yang digunakan AHV. Target ini sebenarnya sudah muncul sejak akhir 2024, namun fokus terhadap Nutanix semakin terlihat sepanjang 2025.

Berbeda dengan pendekatannya terhadap VMware ESXi—di mana pelaku menggunakan perintah esxcli dan vim-cmd untuk mematikan VM terlebih dahulu—Akira tidak melakukan prosedur serupa pada Nutanix. Pelaku langsung mengenkripsi file .qcow2 tanpa menggunakan perintah acli maupun ncli, mengindikasikan metode yang masih berkembang namun tetap berbahaya.

Pembaruan advisory juga memuat taktik intrusi terbaru yang digunakan kelompok ini. Afiliasi Akira biasanya memperoleh akses awal melalui kredensial VPN dan SSH yang dicuri atau dibobol, serta mengeksploitasi kerentanan pada firewall SonicWall. Setelah masuk, mereka memanfaatkan kelemahan pada server Veeam Backup & Replication (CVE-2023-27532 dan CVE-2024-40711) untuk mengakses maupun menghapus cadangan data.

Di dalam jaringan, para pelaku memanfaatkan berbagai utilitas seperti nltest, AnyDesk, LogMeIn, wmiexec.py dari Impacket, serta skrip VB untuk melakukan pengintaian, bergerak lateral, dan membangun keberlanjutan akses. Mereka juga sering menonaktifkan alat deteksi endpoint dan membuat akun administratif baru. Dalam salah satu kasus, pelaku mematikan VM domain controller, menyalin file VMDK, menjalankannya di VM baru, dan mengekstrak NTDS.dit serta SYSTEM hive untuk memperoleh kredensial administrator domain.

Alat internal Akira bernama “Megazord” disebutkan tidak lagi digunakan sejak 2024. Kelompok ini juga diketahui dapat mengekfiltrasi data dalam waktu hanya dua jam dan menggunakan alat tunneling seperti Ngrok untuk membuat kanal terenkripsi yang sulit dideteksi oleh sistem pemantauan perimeter.

CISA dan FBI mendesak organisasi untuk meninjau panduan terbaru dan segera menerapkan mitigasi yang direkomendasikan, termasuk pencadangan offline yang teratur, penerapan autentikasi multifaktor yang ketat, serta pembaruan cepat terhadap kerentanan yang diketahui dieksploitasi.