アキラ ランサムウェアの検出：合同サイバーセキュリティ勧告 (CSA) AA24-109A が北アメリカ、ヨーロッパ、オーストラリアの企業と重要インフラを標的にした攻撃を強調

FBIとCISAは、米国および主要国際サイバーセキュリティ機関と連携して、Akiraランサムウェアを利用したサイバー攻撃の急増について、共同公式勧告AA24-109Aを最近発表し、守備隊に警告を発しました。調査によると、関連する悪意あるキャンペーンは250以上の組織に影響を与え、約4200万ドルの身代金支払いが請求されたとされています。 

Akiraランサムウェア攻撃の検出

エスカレート中 ランサムウェア の脅威は、新しい攻撃手法や悪意あるトリックでサイバー防御者に継続的に挑戦し、高度な脅威検出とハンティングツールの要求を形作っています。SOC Primeのプラットフォームは、セキュリティチームにAIを活用した検出エンジニアリング、自動脅威ハンティング、検出スタックバリデーションのための完全な製品スイートを提供し、サイバー防御を強化してサイバー攻撃が見逃されないようにします。 

Akiraランサムウェアが増加している中、セキュリティ専門家は、脅威ハンティングの調査を加速させるための厳選されたSigmaルールスタックを探索するかもしれません。全てのルールは28のSIEM、EDR、およびデータレイク技術に対応しており、 MITRE ATT&CK®フレームワークにマッピングされています。さらに、各検出アルゴリズムには関連する脅威インテリジェンスと広範なメタデータが付加され、追加のコンテキストを提供します。以下の Explore Detections ボタンを押すだけで、専用のコンテンツリストに直接移動できます。 

Explore Detections

また、セキュリティ専門家は、SOC Primeプラットフォーム内で“AA24-109A”および“Akira Ransomware”タグを使用して関連する検出を検索することができます。

Akiraランサムウェア攻撃の分析

2024年4月18日、FBI、CISA、およびグローバルパートナーは 協力的なサイバーセキュリティ勧告 (CSA) を発行し、 Akiraランサムウェアオペレーターによる増加する攻撃に関連する既知のIOCとTTPを広めるための情報を提供しました。この情報は、FBIの調査と信頼できる第三者からのソースに基づいており、2024年2月に最新の更新がされています。

2023年の春初頭以来、Akiraランサムウェアは、米国、ヨーロッパ、オーストラリアの重要インフラセクターを含む複数の企業に影響を与え、250を超える組織に被害を与えました。敵対者は、最初にWindowsシステムに影響を与えた後、VMware ESXi仮想マシンをターゲットにしたLinuxイテレーションを採用しました。Akiraランサムウェアの初期バージョンはC++プログラミング言語でコーディングされ、.akira拡張子に依存していましたが、2023年の夏の終わりには、Akiraの脅威アクターは、RustベースのバリアントであるMegazordを利用し、.powerranges拡張に基づくファイル暗号化を使って攻撃ツールキットを進化させました。 

ターゲットシステムへの初期アクセスを得るために、Akiraランサムウェアの管理者は、特にMFA設定を欠いたVPNサービスのセキュリティ欠陥を兵器化し、主に既知のCiscoの脆弱性を活用します。CVE-2020-3259とCVE-2023-20269。他の初期アクセス経路には、RDPのような外部に面したサービスの悪用、スピアフィッシング攻撃、および正当な認証情報の悪用が含まれます。

さらに、Akiraの脅威アクターは、ドメインコントローラを新しいドメインアカウントを生成して永続性を持たせることによって武装化する傾向があります。また、Kerberoastingなどのポストエクスプロイト技術を利用してLSASSメモリからの資格情報を抽出し、 Mimikatz やLaZagneなどの資格情報スクレイピングツールを利用して権限昇格を行います。さらに、敵対者はSoftPerfectやAdvanced IP Scannerのようなユーティリティを使用してネットワークデバイスを発見し、 net Windowsコマンドを用いてドメインコントローラを特定し、ドメイントラスト関係情報を収集します。

Akira攻撃は、単一侵入内で多様なシステムアーキテクチャをターゲットとする2つの別々のランサムウェアバリアントを展開することでも区別されており、最近観察された悪意ある活動からのシフトを際立たせています。当初、Akiraの脅威アクターは、WindowsベースのMegazordランサムウェアを展開し、同時に、Akira_v2と呼ばれる新しいAkira ESXi暗号化ツールを第2のペイロードとして導入しました。側方移動を促進するため、敵対者はセキュリティソフトウェアを無効化して検出を回避します。彼らはまた、アンチマルウェアプロセスを阻止するためにZemanaアンチマルウェアドライバーを悪用するPowerToolを乱用することが観察されています。

敵対者のツールキットが抽出と影響を促進するために、Akiraランサムウェアの管理者はFileZilla、WinRAR、WinSCP、RCloneを適用して、侵害されたシステムからデータを盗み、多数のユーティリティセットを利用します、 AnyDesk, MobaXterm, RustDesk, またはNgrokを利用してC2チャネルを確立します。敵対者はまた、二重の恐喝モデルを利用し、データ抽出後にシステムを暗号化します。Akiraの脅威アクターは通常、仮想通貨ウォレットアドレスにビットコインでの身代金支払いを要求し、盗まれたデータをTorネットワーク上で公表すると脅迫しています。

Akira攻撃のリスクを最小化するために、組織にはネットワークのセグメンテーション、多要素認証の適用、定期的なパッチ適用、疑わしい活動の継続的監視、およびオフラインバックアップの維持を含む多層のセキュリティ保護を実装することが強く推奨されます。 

ランサムウェア攻撃の増加とその進化する洗練度、継続的に強化された攻撃ツールキットは、組織の露出を最小限に抑えるための積極的なサイバー防御戦略の実装の必要性を強調しています。SOC Primeの Attack Detective を活用することで、防御者は自動検出スタック検証を信頼してリアルタイムの攻撃表面の可視性を得て、検出範囲の盲点を直ちに特定して対処し、敵対者が襲撃する前に侵害を発見することができます。