FBI: アキラランサムウェアグループが250以上の組織から4200万ドルを稼いだ

アキラランサムウェアグループは、250以上の組織のネットワークに侵入し、約4200万ドル（USD）のランサムウェア収益を主張しています。これは、アメリカ合衆国連邦捜査局（FBI）、サイバーセキュリティおよびインフラセキュリティ庁（CISA）、ユーロポールの欧州サイバー犯罪センター（EC3）、およびオランダの国家サイバーセキュリティセンター（NCSC-NL）によって発表された最近の共同サイバーセキュリティアドバイザリーによるものです。

FBIの調査によると、アキラランサムウェアは2023年3月以来、北アメリカ、ヨーロッパ、オーストラリア全体のさまざまなビジネスや重要インフラの組織を標的にしています。

ランサムウェアは最初、Windowsシステムを標的にしていましたが、FBIは最近、アキラのLinuxバリアントが多くの大企業や組織で広く使用されているVMware ESXi仮想マシンを標的にしていることを発見しました。

? #StopRansomare: 私たちの ? #cybersecurity アドバイザリーを確認してください。これは、@FBI、@EC3Europol、および @NCSC_NL と共に開発された、既知の #AkiraRansomware #TTPs および #IOCs を概説し、ビジネスや重要インフラの悪用を減らすためのものです。 https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 2024年4月18日

「アキラランサムウェアバリアントの初期バージョンはC++で書かれ、.akira拡張子でファイルを暗号化していました。しかし、2023年8月から、一部のアキラ攻撃はMegazordを展開し、Rustベースのコードを使用して.powerranges拡張子でファイルを暗号化しています。アキラの脅威アクターは、Megazordとアキラ、特に信頼できる第三者の調査によって特定されたAkira_v2を交互に使用し続けています」と、共同サイバーセキュリティアドバイザリーは述べています。

FBIとサイバーセキュリティ研究者は、アキラの脅威アクターが多要素認証（MFA）が設定されていない仮想プライベートネットワーク（VPN）サービスを通じて組織に初期アクセスを取得しているのを観察しています。主に既知のCiscoの脆弱性CVE-2020-3259およびCVE-2023-20269を使用しています。

初期アクセスの追加方法には、リモートデスクトッププロトコル（RDP）などの外部向けサービスの使用、スピアフィッシング攻撃、資格情報の悪用が含まれます。

初期アクセスが取得されると、アキラの脅威アクターは新しいドメインアカウントを作成して永続性を確立するためにドメインコントローラーの機能を悪用しようとします。

グループはKerberoasting技術とMimikatzを使用して資格情報を抽出し、LaZagneを使用して特権昇格を支援し、PowerToolを使用してZemana AntiMalwareドライバーを悪用し、アンチウイルス関連のプロセスを終了させ、FileZilla、WinRAR、WinSCP、およびRCloneを使用してデータを抽出します。

「アキラの脅威アクターは、侵害されたネットワーク上に初期の身代金要求や支払い指示を残さず、被害者から連絡されるまでこの情報を伝えません」と、機関は述べています。

「身代金の支払いは、脅威アクターが提供する暗号通貨ウォレットアドレスにビットコインで行われます。さらに圧力をかけるために、アキラの脅威アクターは、抽出されたデータをTorネットワークに公開すると脅迫し、場合によっては被害を受けた企業に電話をかけています」とFBIの報告は述べています。

FBI、CISA、EC3、およびNCSC-NLは、アキラランサムウェアの脅威に対抗するための防御者向けの強力なサイバーセキュリティプラクティスを提供しています。これには、すべての重要なシステム、特にVPN、ウェブメール、およびアカウントでフィッシング耐性のある多要素認証（MFA）を有効にすること、ランサムウェアの拡散を制限するために厳格なアクセス制御を実施しネットワークを分割すること、オフラインデータバックアップを維持すること、バックアップと復元を定期的に維持し、すべてのオペレーティングシステム、ソフトウェア、およびファームウェアを最新の状態に保つことが含まれます。