Akira ランサムウェアの背後にいるサイバー犯罪者は 1 年で 4,200 万ドル以上を稼いだ

CISA、FBI、ユーロポール、オランダ国立サイバーセキュリティセンター（NCSC-NL）の報告によると、 Akira ランサムウェアの犯人であるサイバー犯罪者は、わずか 1 年で 4,200 万ドルを超える莫大な金額を蓄えました。彼らの悪質な活動は、サービス、製造、教育、建設、重要インフラ、金融、医療、法律分野など、さまざまな業界にわたる世界中の 250 以上の組織を被害に遭わせています。

Akira ランサムウェアは当初 Windows システムを標的としていましたが、2023 年 4 月以降は VMware ESXi 仮想マシンに感染するまで範囲を拡大しています。さらに、CISA、FBI、ユーロポール、NCSC-NL が最近の勧告で強調しているように、2023 年 8 月以降は Megazord が統合され、その武器庫が強化されました。

Akira ランサムウェアの運営者は、多要素認証のない VPN サービスの脆弱性を悪用する高度な手口を示しており、特に CVE-2020-3259 や CVE-2023-20269 などの Cisco 製品の既知の弱点を悪用しています。また、リモート デスクトップ プロトコル (RDP) 侵入、スピア フィッシング キャンペーン、有効な認証情報を利用して被害者の環境に侵入するなどの戦術も採用しています。

最初のアクセスを獲得した後、これらの脅威アクターは、新しいドメイン アカウントを作成し、資格情報を抽出し、ネットワークとドメイン コントローラーの広範な偵察を行うなど、綿密な持続戦略を示します。このアドバイザリでは、単一の侵害イベント内で異なるシステム アーキテクチャに対して 2 つの異なるランサムウェアの亜種を展開するという、Akira の戦術の顕著な進化を強調しています。

Akira の攻撃者は、検出を回避し、横方向の移動を容易にするために、セキュリティ ソフトウェアを体系的に無効にします。彼らのツールキットには、FileZilla、WinRAR、WinSCP、RClone、AnyDesk、Cloudflare Tunnel、MobaXterm、Ngrok、RustDesk など、データの流出やコマンド アンド コントロール通信の確立のためのさまざまなソフトウェア アプリケーションが含まれています。

他のランサムウェアシンジケートと同様に、Akira は二重の恐喝モデルを採用しており、暗号化される前に被害者のデータを盗み出し、Tor ベースの通信チャネルを介してビットコインでの支払いを要求します。攻撃者は、盗み出したデータを Tor ネットワークで公開すると脅迫し、場合によっては被害組織に直接連絡することで、さらに圧力を高めます。

この脅威の状況がますます深刻化していることを受けて、このアドバイザリでは、ネットワーク防御者に対して、Akira に関連する侵害の兆候 (IoC) と、そのような攻撃に対する防御を強化するための推奨される緩和戦略を提供しています。