アキラランサムウェアグループの台頭：ハッカーがLATAMの航空業界を標的に

サイバーセキュリティ研究者は最近、ラテンアメリカの航空会社に対する新しいサイバー攻撃が Akiraランサムウェアを利用していることを観察しました。攻撃者は初期アクセスにSSHプロトコルを利用し、正当なツールおよび Living off-the-Land Binaries and Scripts (LOLBAS)を使用して偵察および永続性を維持しました。ランサムウェアを展開する前に、ハッカーは重要なデータの成功したエクスフィルトレーションを管理していました。

Akiraランサムウェア攻撃の検出

サイバーセキュリティコミュニティは、高名なランサムウェアグループの脅威の増大によって引き起こされる大きな課題に直面しています。Corvus Insuranceによる 2024年Q1ランサムウェアレポートによると、世界的なランサムウェア攻撃が前例のない記録を樹立し、2022年をほぼ70％も上回りました。

Akiraランサムウェアグループは、昨年トップで LockBit, 、BlackCat、Clop、その他の悪名高いアクターと共に、最も活発なコレクティブの1つとなっています。最新のニュース報道は、Akiraが大手ラテンアメリカ航空会社への攻撃、および, Clop, and other infamous actors. The latest news reports highlight that Akira stands behind the attack against the major LATAM airline, as well as クロアチアのスプリット空港の混乱 、および米国内のいくつかの主要企業に対するキャンペーンの背後に立っていることを強調しています。

Akiraランサムウェアに関連する侵入に対応するために、SOC PrimeプラットフォームはTTPを取り上げたキュレーションされたコンテンツを ラテンアメリカ航空会社攻撃中に提供します。「Explore Detections」ボタンを以下で押すだけで 専用コンテンツリストにすぐにドリルダウンできます。

Explore Detections

すべてのルールは30以上のSIEM、EDR、およびデータレイク技術と互換性があり、 MITRE ATT&CK®フレームワークにマップされています。さらに、CTI参照、攻撃タイムライン、およびトリアージ推奨事項などの広範なメタデータで検出が強化され、脅威調査を円滑化します。

Akiraの攻撃パターンに対するより多くの検出コンテンツを探すサイバーディフェンダーは、「Akira」タグを使用したカスタム検索または こちらのリンク をフォローして、グループの悪意のある活動に関連する広範なSigmaルールを取得できます。

Akiraランサムウェアキャンペーンの説明

BlackBerry Research and Intelligence Teamによる 調査 によると、Akiraランサムウェアの管理者は、ラテンアメリカ航空会社のインフラストラクチャにアクセスし、機密データをエクスフィルトレーションし、感染したネットワークにAkiraペイロードをドロップするために洗練されたアプローチを採用しました。

攻撃者はSSHプロトコルを使用して初期ネットワークアクセスを得、次の日にAkiraランサムウェアサンプルを展開する前にクリティカルなデータを成功裏にエクスフィルトレーションしました。感染チェーンの中で、LOLBASを含むいくつかの正当なツールを悪用して偵察を行い、侵害された環境での永続性を維持しました。

データのエクスフィルトレーションに成功した後、攻撃者はランサムウェアを展開して被害者のシステムを暗号化し、無効化しました。主にWindowsシステムをターゲットにしていたにもかかわらず、Akiraランサムウェアの関係者は、VMware ESXi仮想マシン用を含むLinuxバリアントにも依存しています。最新の攻撃では、RemminaというオープンソースのリモートデスクトップクライアントにリンクされたドメインへのDNSクエリのような指標から、Akiraランサムウェアの管理者がLinuxベースのユーザーと関連している可能性があります。このラテンアメリカの航空会社をターゲットにした攻撃キャンペーンでは、攻撃者は未パッチのVeeamバックアップサーバーをCVE-2023-27532の脆弱性を武器にして悪用しました。以前の攻撃では、AkiraオペレーターはCVE-2020-3259およびCVE-2023-20269などのゼロデイ欠陥を含む他の脆弱性を悪用してシステムに侵入しました。

Akiraは2023年初春以来、RaaSとして活動しており、悪名高いハッキンググループStorm-1567（Punk SpiderおよびGOLD SAHARAとしても知られる）によって活用されています。このグループは、専用漏洩サイトとともに、Akiraランサムウェアの開発と維持に責任を負っています。

Akiraランサムウェアの管理者はしばしば、ランサムウェアを展開する前に機密データをエクスフィルトレーションするという二重強制戦術を駆使し、最新の攻撃も同じ行動パターンに従いました。この戦略は、公開された被害者のデータになりえるリスクのため、被害者に早急な支払いを促します。

Akiraランサムウェアに関連付けられる主要なTTPには、オープンソースのペネトレーションテストツールなどの正当なソフトウェアの悪用と、古いまたは未パッチのシステム、特にVPNソフトウェアの脆弱性の悪用が含まれます。Akiraグループはさまざまな業界セクターを攻撃しており、 世界中の重要インフラに影響を与えています。2024年4月、FBIとCISAは、主要なサイバーセキュリティ当局と共同で、Akiraランサムウェアの管理者による増加する攻撃に関連付けられた既知のIOCとTTPを分配するための共同CSAを発表し、リスクの最小化に関する勧告と緩和措置の提供を行いました。ize the risks of intrusions. 

続く ランサムウェア 脅威のエスカレーションは、サイバーセキュリティ防御者に新しい攻撃技術と悪意のある戦術を絶えず提示し、潜在的な侵入に積極的に対抗するために高度な脅威検出とハンティングツールが求められる必要性を高めています。経済的動機を持つとされるAkiraランサムウェアの管理者によるラテンアメリカの航空会社への攻撃は、多様な地域の組織を標的にする相手の準備性を示しており、特に未パッチの脆弱性を有する組織に対して、共同業界の専門知識に支えられた革新的なサイバーセキュリティ態勢の強化方法を探ることを奨励しています。 SOC PrimeのAI駆動の検出エンジニアリング、 自動脅威ハンティング、および検出スタック検証向けの完全製品スイートは、あらゆる規模と巧妙さのサイバー攻撃に対する共同防御を可能にする実行可能なソリューションをセキュリティチームに提供します。