Akiraランサムウェアグループは、2024年1月1日までに250以上の被害者のネットワークに侵入し、約4200万ドルの不正な収益を得た。2023年3月以降、北米、ヨーロッパ、オーストラリアのビジネスや重要インフラに影響を与えている。2023年4月、Windowsシステムに焦点を当てた初期の活動から、Linuxバリアントへと移行し、VMware ESXi仮想マシンを標的にした。このグループは、初期段階でC++バリアントのロッカーを使用し、2023年8月からはRustベースのコードに移行した。初期アクセスは、Ciscoアプライアンスの既知の脆弱性(例:CVE-2020-3259、CVE-2023-20269)を悪用することで容易にされ、リモートデスクトッププロトコル(RDP)、スピアフィッシング、有効な認証情報、多要素認証(MFA)保護が不足しているVPNサービスを使用する。また、新しいドメインアカウントを作成することで持続性を確立し、Zemana AntiMalwareドライバーを悪用してアンチウイルス関連プロセスを終了させるBYOVD攻撃により検出を回避する。特権昇格には、MimikatzやLaZagneのようなクレデンシャルスクレイピングツールを利用し、Windows RDPを使用して被害者のネットワーク内で横断的に移動する。データの抽出はFileZilla、WinRAR、WinSCP、RCloneを通じて行われる。Akiraランサムウェアは、Chacha20とRSAを組み合わせたハイブリッド暗号化アルゴリズムを使用してシステムを暗号化し、影響を受けたシステムからシャドウコピーを削除することでシステム回復を妨げる機能を持つ。ブロックチェーンとソースコードのデータは、Akiraランサムウェアグループが現在は機能していないContiランサムウェアグループと関連がある可能性が高いことを示唆している。Avastは昨年7月にAkiraの復号化ツールをリリースしたが、その不備は既に修正されている可能性が高い。AkiraがLinuxエンタープライズ環境を標的とするように変異したことは、LockBit、Cl0p、Royal、Monti、RTM Lockerなどの他の確立されたランサムウェアファミリーによる類似の動きに続くものである。
LockBitグループの復活への苦闘が明らかになった。今年2月のLockBitグループに対する大規模な法執行機関の摘発は、グループの運営能力と評判に重大な影響を与え、新しいデータ漏洩サイトに古いおよび偽の被害者を掲載することを余儀なくされた。LockBitは、他の著名なストレインと関連付けられている多数のアフィリエイトを含む、最も多作で広く使用されているRaaS(Ransomware-as-a-Service)の一つであった。ブロックチェーン分析会社Chainalysisは、LockBitの管理者と、2022年にロシア・ウクライナ戦争が始まって以降、ドネツクとルガンスクの制裁対象地域でロシア民兵グループの作戦に寄付を募る歴史を持つセヴァストポリに拠点を置くジャーナリスト、Colonel Cassad(別名Boris Rozhin)との間に暗号通貨の痕跡を発見した。LockBitSupp(LockBitの主張されるリーダー)は、摘発に参加した法執行機関が所在する国々の被害者を中心に掲載することで、復活し、摘発に責任を持つ者たちを標的にするという物語を強化しようとしている可能性がある。
Agendaランサムウェアグループは、Remote Monitoring and Management(RMM)ツールとCobalt Strikeを介してVMWare vCenterおよびESXiサーバーに感染させるために、更新されたRustバリアントを使用している。新しいターゲットとシステムへの拡大を示している。新しいランサムウェアアクターの登場により、脅威の風景に新たな活力がもたらされているが、サイバー犯罪のアンダーグラウンドで販売されている「粗悪で安価なランサムウェア」が実際の攻撃で使用され、よく組織化されたグループの一部でなくても、下位の個々の脅威アクターが大きな利益を生み出すことができることも明らかになっている。これらの多くは、単一のビルドにつきわずか20ドルから始まる一回限りの価格で利用可能であり、HardShieldやRansomTugaのように追加費用なしで提供されるものもある。
【ニュース解説】
Akiraランサムウェアグループが、2024年1月1日までに250以上の被害者のネットワークを侵入し、約4200万ドルの不正な収益を上げたことが報告されました。このグループは、2023年3月以降、北米、ヨーロッパ、オーストラリアのビジネスや重要インフラに影響を与えており、当初はWindowsシステムを標的にしていましたが、2023年4月にはLinuxバリアントへと活動を拡大し、VMware ESXi仮想マシンを狙い始めました。
このランサムウェアは、初期段階ではC++で書かれたバリアントを使用していましたが、2023年8月からはより安全性が高いとされるRustベースのコードに移行しました。攻撃者は、Ciscoアプライアンスの既知の脆弱性を悪用することでネットワークへの初期アクセスを容易にし、リモートデスクトッププロトコル(RDP)、スピアフィッシング、有効な認証情報、多要素認証(MFA)が不足しているVPNサービスなど、様々な手法を用いて侵入を試みます。
Akiraランサムウェアは、Chacha20とRSAを組み合わせたハイブリッド暗号化アルゴリズムを使用してシステムを暗号化し、影響を受けたシステムからシャドウコピーを削除することで、システム回復を妨げる機能を持っています。これにより、被害者はデータを復旧することが困難になります。
このランサムウェアグループは、現在は機能していないContiランサムウェアグループと関連がある可能性が高いとされています。これは、ブロックチェーンとソースコードの分析から示唆されています。また、Linuxエンタープライズ環境を標的とすることで、LockBit、Cl0p、Royal、Monti、RTM Lockerなどの他の確立されたランサムウェアファミリーによる類似の動きに続いています。
このようなランサムウェア攻撃の増加は、企業や組織がサイバーセキュリティ対策を強化する必要性を強調しています。特に、脆弱性のあるシステムのアップデートや、多要素認証の導入、従業員へのセキュリティ教育などが重要です。また、ランサムウェア攻撃は、データの損失だけでなく、企業の信頼性やブランドイメージにも大きな打撃を与える可能性があるため、予防策としてのバックアップの重要性も再認識されています。
一方で、ランサムウェア攻撃の増加は、サイバーセキュリティ業界における新たな技術や対策の開発を促進する可能性もあります。例えば、AI技術を活用した異常検知システムの開発や、ランサムウェア攻撃を自動的に防ぐセキュリティソリューションの進化などが期待されます。しかし、攻撃者もまた技術の進化に合わせて手法を更新していくため、サイバーセキュリティは常に進化し続ける分野であると言えるでしょう。
from Akira Ransomware Gang Extorts $42 Million; Now Targets Linux Servers.
