#StopRansomware: Akira Ransomware
💡
要約
「#StopRansomware: Akira Ransomware」に関するサイバーセキュリティアドバイザリの概要です。
- Akira Ransomwareは2023年3月以降、北米、欧州、オーストラリアの企業やインフラを標的としている。
- 初期バージョンはC++で書かれ.akira拡張子を使っていたが、2023年8月以降はRust言語ベースのMegazordも使われ、.powerranges拡張子を付ける。
- 初期侵入には脆弱なVPNサービスの悪用や、既知の脆弱性の exploit が利用されている。
- 侵入後は Admin 権限の奪取、ツール実行、情報収集、データ窃取、暗号化を行う。
- 高度なハイブリッド暗号化手法を使い、ファイルを強力に暗号化する。
- 二重の身代金要求モデルを採用し、データ公開も脅している。
- 対策としては、既知の脆弱性を迅速に修正すること、多要素認証を有効化すること、ソフトウェアを最新状態に保つことなどが推奨されている。
要約すると、Akira RansomwareはWindowsとLinuxの両方を標的とする高度な手口を持つ脅威で、適切な対策が必須とされています。
Table of contents
初期侵入手段:
- Cisco VPNの脆弱性(CVE-2020-3259、CVE-2023-20269)を悪用したVPNサービスへの侵入
- RDPなどのリモートサービスの悪用
- 標的型メール攻撃
- 窃取した有効な資格情報の悪用
侵入後の活動:
- 新しいドメイン管理者アカウントの作成によるパーシステンス確立
- Kerberoastingなどの手法で資格情報を窃取
- Mimikatz、LaZagneを使った資格情報スクラッピング
💡
検知回避のため、PowerToolを使ってセキュリティソフトを無効化
- FileZilla、WinSCP、RCloneなどでデータを窃取
- AnyDesk、Ngrokなどで命令の受信と制御
- 二重の身代金要求方式を採用
暗号化手段:
💡
ChaCha20ストリーム暗号とRSA公開鍵暗号のハイブリッド方式
- 完全暗号化か部分的暗号化を選択可能
- .akiravuapowerrangs 拡張子を付与
💡
シャドウコピーの削除によるリカバリ妨害
💡
Akira_v2ではRust言語ベースで機能が強化された新しい亜種
攻撃対象:
- Akira ランサムウェアは特定の業界や規模の組織を狙うのではなく、幅広い業種や規模の組織を無差別に攻撃します。
- 攻撃対象には、重要インフラ、製造業、金融、医療、教育機関などが含まれます。
攻撃手法の進化:
- Akira の背後にいる攻撃者は、常に新しい手法やツールを開発し、防御を突破しようと試みます。
- 最近では、Windows と Linux の両方を標的とするハイブリッド攻撃や、VMware ESXi サーバーを狙った攻撃が確認されています。
- また、二重恐喝に加えて、DDoS 攻撃や電話による脅迫など、被害者への圧力を強める手法も報告されています。
防御策:
- CISA のアドバイザリで推奨されている対策に加えて、以下の対策も有効です。
- 定期的なバックアップ: 重要なデータは定期的にバックアップし、オフラインで保管することが重要です。
- ネットワークセグメンテーション: ネットワークをセグメント化することで、攻撃の影響範囲を最小限に抑えることができます。
- エンドポイントセキュリティ: エンドポイントセキュリティソフトウェアを導入し、常に最新の状態に保つことが重要です。
- セキュリティ意識向上: 従業員に対するセキュリティ意識向上トレーニングを実施し、フィッシングメールや不正なリンクへの対策を強化する必要があります。
- インシデント対応計画: ランサムウェア攻撃を受けた場合に備えて、インシデント対応計画を策定し、定期的に訓練を実施することが重要です。
情報収集:
- ランサムウェアの脅威に関する最新情報を入手するためには、CISA や FBI などの政府機関やセキュリティベンダーの情報を定期的に確認することが重要です。
被害を受けた場合:
- ランサムウェア攻撃を受けた場合は、身代金の支払いは推奨されません。 支払ったとしても、データが復元される保証はなく、さらなる攻撃を招く可能性があります。
- 被害を受けた場合は、速やかに関係機関に報告し、専門家の支援を受けることが重要です。
Akira ランサムウェアの特徴:
💡
Akira ランサムウェアは、アメリカとカナダの企業を主な標的としています。
💡
ランサムウェアのリークサイトは、独特のレトロな外観を持ち、特定のコマンドを入力することで操作できます。
💡
Akira は、Conti ランサムウェア攻撃グループと関連があるとされており、コードの類似性が認められます。
被害と影響:
- Akira ランサムウェアの攻撃を受けた組織は、業務停止、データ損失、金銭的損失、評判の低下など、深刻な被害を受ける可能性があります。
- 特に、重要なインフラや医療機関などの組織が攻撃を受けた場合、社会的な影響も大きくなる可能性があります。
対策と予防策:
- 組織は、サイバーセキュリティ体制の強化が必要です。最新の脅威情報を入手し、適切な対策を講じることが重要です。
- バックアップの作成と定期的なテスト、セキュリティパッチの適用、セキュリティ意識向上のトレーニングなど、予防策を実施することが重要です。
身代金の支払いについて:
- 身代金の支払いは、攻撃者を資金的に支援することになり、さらなる攻撃を助長する可能性があります。
- また、身代金を支払ったとしても、データが復元される保証はありません。
国際的な協力:
- Akira ランサムウェアの脅威に対抗するためには、国際的な協力が不可欠です。
- 各国の法執行機関やセキュリティ機関は、情報を共有し、共同で捜査を行うことで、攻撃者を追跡し、被害を最小限に抑える努力をしています。
将来の展望:
- Akira ランサムウェアのようなランサムウェアの脅威は、今後も進化し続けると予想されます。
- 組織は、最新の脅威情報を入手し、適切な対策を講じることで、ランサムウェア攻撃から身を守る必要があります。