Akiraランサムウェアとは
Akiraランサムウェアは、2023年3月に確認された高度なサイバー脅威であり、二重脅迫と最新の攻撃手法で知られています。当初はC++で開発されていましたが、新しいバージョンはRustで書かれており、暗号化されたファイルには .akira や .powerranges といった拡張子が付けられています。
このランサムウェアグループは、主にビジネスサービス、重要インフラ、建設、製造、教育、小売、テクノロジー分野を標的としており、北米、ヨーロッパ、オーストラリアを中心に活動しています。
初期アクセスは、多要素認証(MFA)を使用していないVPNサービスの脆弱性の悪用や、初期アクセスブローカーから入手した有効なアカウントを使用して行われます。
攻撃者は、外部に公開されたサービスを標的するほか、スピア・フィッシングを実施して組織に侵入します。侵入後は、新しいドメインアカウントを作成することで継続性を確保し、攻撃者は侵害されたシステム内に強固な足場を築きます。また、探索活動では、Kerberoastingのような技術や、Mimikatz、LaZagneといったツールを使用して、LSASSメモリに保存された認証情報を抽出します。
防御を回避するため、Zemanaアンチマルウェアドライバを使用してアンチマルウェア関連のプロセスを終了させ、PowerShellを通じてWindows Defenderを無効化します。ネットワーク情報の収集には、NetScanやAdvanced IP Scannerなどのツールが使用され、Active Directoryの照会にはPowerShellやWindowsのNetコマンドが使用されます。
さらに、RDPやSMBなどのリモートサービスを利用してネットワーク内を横断的に移動し、FileZilla、WinRAR、WinSCP、RCloneなどのツールを使用しデータを外部に送信します。コマンドコントロール(C&C)通信には、MobaXterm、Ngrok、AnyDesk、RustDesk、Cloudflare Tunnelなどが利用されます。暗号化には、ChaCha20とRSAを組み合わせた高度なハイブリッド暗号方式が採用され、PowerShellコマンドを用いてボリュームシャドウコピー(VSS)を削除することで、復旧を防ぎます。
高度な検出システムと積極的な脅威対策なしに、Akiraにて偽設定されたVPNやオープンソースツールの悪用を防ぐことはできません。
推奨される対策
- 異常を特定するために、環境内のIoC(侵害の痕跡)を監視する。
- Windows環境を最新の状態に保ち、多要素認証を導入する。
- 見落としや改善点を明らかにするために、 網羅的かつ全方位的な脅威評価を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
