Akira ランサムウェア、1 年間で 4,200 万ドルの身代金を稼ぐ

CISA、FBI、ユーロポール、オランダ国立サイバーセキュリティセンター（NCSC-NL）によると、2023年初頭以来、Akiraランサムウェアは世界中で250人以上の被害者を標的とし、4,200万ドル以上の身代金を徴収した。

Akira ランサムウェアの運営者は、サービスや商品、製造、教育、建設、重要なインフラ、金融、医療、法律業界など、さまざまな分野の組織を攻撃していることが確認されています。

Akira は当初 Windows システムに焦点を当てていましたが、2023 年 4 月以降は VMware ESXi 仮想マシンに感染するまで範囲を拡大し、2023 年 8 月以降は Megazord と組み合わせて使用されていることが、CISA、FBI、ユーロポール、NCSC-NL の勧告で強調されています。

Akira ランサムウェアの運営者は、最初のアクセスを得るために、主にシスコ製品の既知の脆弱性 (CVE-2020-3259 や CVE-2023-20269 など) を悪用して、多要素認証のない VPN サービスを標的にしました。また、リモート デスクトップ プロトコル (RDP)、スピアフィッシング、盗まれた資格情報も利用して、被害者の環境に侵入しました。

アクセスを取得した後、脅威アクターは永続性を確保するために新しいドメイン アカウント (場合によっては管理者アカウントを含む) を作成し、資格情報を抽出し、ネットワークとドメイン コントローラーの偵察を実施しました。

Akira を操作する脅威アクターは 2 つの異なる亜種を実行

信頼できる第三者の調査によると、Akira の脅威アクターは、同じ侵害イベント内で異なるシステム アーキテクチャを標的とする 2 つの異なるランサムウェア バリアントを展開していることが確認されています。これは、以前に報告された Akira ランサムウェアの活動からの変化を示していると、このアドバイザリは述べています。

ネットワーク内での横方向の移動に備えて、Akira オペレーターは検出を回避するためにセキュリティ ソフトウェアを無効にしました。また、データの流出には FileZilla、WinRAR、WinSCP、RClone などのツールを使用し、コマンド アンド コントロール (C&C) 通信を確立するには AnyDesk、Cloudflare Tunnel、MobaXterm、Ngrok、RustDesk などのツールを使用していることも確認されています。

他のランサムウェア グループと同様に、Akira は被害者のデータを暗号化する前に盗み出します。被害者は Tor ベースの Web サイト経由で攻撃者に連絡するよう指示され、その後ビットコインで身代金を支払うよう指示されます。

CISA、FBI、ユーロポール、NCSC-NLによると、Akiraの脅威アクターはさらなる圧力をかけるために、盗み出したデータをTorネットワークで公開すると脅迫し、場合によっては被害を受けた企業に連絡を取ったりもしている。