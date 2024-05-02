セキュリティー

X-Forceのインシデント対応サービスと脅威インテリジェンスが注目するAkiraランサムウェア

チーム会議で再会した同僚たち

この記事は、Aaron Gdanskiの貢献により作成されました。

この脅威アクター・グループが2023年3月に出現して以来、IBM X-Forceのインシデント対応サービスと脅威インテリジェンス・チームは、いくつかのAkiraランサムウェア攻撃を調査してきました。このブログでは、ランサムウェアのデプロイに使用されるコマンド、CVE-2023-20269のエクスプロイテーション、ランサムウェア・バイナリーの分析など、このランサムウェアの背後にある脅威アクターを観察する中で得られたAkiraに関するX-Force独自の視点を共有します。

Akiraランサムウェア・グループは、現在のサイバーセキュリティー・ランドスケープで悪名を轟かせています。これは、サイバーセキュリティーおよびインフラストラクチャー・セキュリティー庁（CISA）による最近のサイバーセキュリティー・アドバイザリーや、複数の業界や地域にわたってAkiraランサムウェア攻撃者が数百人の被害者を出したことにも裏付けられています。

Akiraの脅威アクターは、データの漏洩と全社的な暗号化の両方を含む二重恐喝スキームを採用しています。Akiraの関連会社は、同グループがオンオンサイトでファイルを公開し、影響を受けたファイルを回復するための復号キーを受け取ることを防ぐために、身代金の支払いを要求しています。このグループ名は、1988年に公開された同名のアニメ映画のプロットを暗示しているかのようです。

重要ポイント

  • Akiraランサムウェアは、検知に使用できる以下の文字列を使用します。
    • Windows Akira
      • *.akira
      • akira_readme.txt
      • Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt
      • powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject”
    • Linux Akira
      • *.akira
      • akira_readme.txt
  • Akiraランサムウェア攻撃者は、CVE-2023-20269を頻繁にエクスプロイトして、被害者ネットワークへの初期アクセスを取得します。
  • 脆弱性管理、パスワード管理、ダークウェブの脅威に対する承認を維持することで、組織はAkiraランサムウェアに対する防御を強化できます。

IBMニュースレター

The DX Leaders

AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。

ご登録いただきありがとうございます。

ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

ダークウェブでの活動

Akiraランサムウェアの攻撃者はダークウェブ上に2つのサイトをデプロイしていました。各攻撃後にAkiraが残した身代金要求メッセージの両方に、.onionの場所が記載されていました。これらのサイトは、1980年代初頭のARPANETを彷彿とさせる方法で定型化されています。

最初のサイトには、ランサムウェア・グループに関する一般情報、グループの被害者から盗んだ記録の宣伝、データ公開の可能性に関するニュース、およびグループへの連絡方法などが記載されています。

Akiraランサムウェア.onionダークウェブサイトのスクリーンショット

図1：Akiraランサムウェア.onionダークウェブの悪名高いサイト（出典：X-Forceのダークウェブ調査）

2番目のサイトは交渉に使用されます。このサイトにアクセスするには、ユーザーは身代金要求メッセージに含まれているパスワードを一意の識別子として入力する必要があります。

Akiraランサムウェア.onionダークウェブ交渉ポータルのスクリーンショット

図2：Akiraランサムウェア.onionダークウェブ交渉ポータル（出典：X-Forceのダークウェブ調査）

アクセスを取得すると、交渉ポータルには、Akiraグループが被害者の組織から盗んだデータのサンプルを準備していることを被害者に伝えるメッセージが表示されます。このプロセスは、所要時間に基づいて、脅威アクターが手動で行っている可能性があります。準備が整うと、脅威グループは、オペレーション中に盗み出されたフォルダーとファイルのリストを含むファイルを添付し、暗号化が行われる前にAkiraの攻撃者が本物のファイルを盗んだことを被害者に証明します。

ダークウェブ交渉ポータル内のAkiraサポート・チャットのスクリーンショット

図3：ダークウェブ交渉ポータル内のAkiraサポート・チャット（出典：Lab539

最適なアクセス・ベクトル：CVE-2023-20269

2023年9月初旬にCVE-2023-20269が公開されてから、Akiraランサムウェアの脅威アクターは、この脆弱性を広く悪用してきました。CVE-2023-20269は、Cisco Adaptive Security Appliance（ASA）およびFirepower Threat Defense（FTD）の仮想プライベート・ネットワーク（VPN）機能に影響を与え、不正なリモート攻撃者が既存のアカウントに対してブルートフォース攻撃を実行できるようになります。

オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題（顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など）を解決した多岐にわたる事例のご紹介です。

ツール・スイート

最初のアクセスの後、このグループは、偵察、データ窃盗、横移動、および特別に作成されたスクリプトのためのさまざまなツールやマルウェアを使用して、ランサムウェア・バイナリーをネットワーク全体に拡散します。

スクロールして表全体を表示

図4：Akiraランサムウェア・アクターが使用するツール・スイート（出典：X-Force）

人間の介入なしに拡散または複製するワーム動作モジュールを備えた一部のランサムウェア・ファミリーとは異なり、Akiraランサムウェアは、ネットワーク内で感染を広めるためにアクティブな手順を必要とします。一般的なオプションは、仮想アクターがこのレベルのアクセスに達した場合にドメイン・コントローラー・ポリシーを使用すること、またはバッチまたはbashスクリプトによってトリガーされるAkiraバイナリーに埋め込まれた機能を使用することです。

X-Forceは、Akiraランサムウェアの攻撃者が偵察活動を完了した後に、以下のパターンでバッチ・スクリプトを使用することを確認しました。

「start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$」

  • 開始コマンドは、新しいインスタンスを作成するために使用されます。その結果、各命令を独立して実行する新しいプロセス・スレッドが生成されます。
  • 多くの場合、発見されたバイナリーは脅威アクターによって特別に作成されたものであり、そのIOCはこれまでどの脅威インテリジェンス・フィードにも見られなかったものである。
  • -pを含む引数には、さまざまなIPターゲットが与えられ、マッピングされた場所が暗号化されるように移動します。
  • 脅威アクターは既存のオペレーション機能を利用し、活動を正当なものと見せかけているようです。

Akiraランサムウェア・バイナリーは、実行が行われた現在のディレクトリーにテキスト・ファイルを作成します。

Akiraランサムウェアのマルウェア分析

IBM X-Forceは、AkiraランサムウェアのWindowsとLinuxの両方でバイナリーを分析しました。AkiraのLinuxバージョンとWindowsバージョンは同様に機能しますが、主な違いは暗号化オペレーションに使用されるライブラリーにあります。Akiraは、暗号化されたファイルのファイル名に「.akira」を追加し、ファイルが暗号化されている各ディレクトリーに身代金要求メッセージをドロップします。身代金要求メッセージには、被害者がチャット・システムにログオンして身代金を交渉するために使用できるTORリンクとコードが含まれています。

ある例では、Akiraランサムウェア・ファイルは2023年12月末（特に2023-12-28 14:49:57 UTC）にコンパイルされ、C++言語で開発されていました。

Akiraランサムウェア・コンパイルの日付タイムスタンプのスクリーンショット

図5：Akiraランサムウェア・コンパイルの日付タイムスタンプ—2023年12月28日（出典：X-Force）

実行されると、Akiraランサムウェアは現在のディレクトリーにログ・ファイルを作成します。ログ・ファイルのファイル名は、システムの現在現地時間に基づいており、その形式は「Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt」となります。ファイルの暗号化中にエラーが発生すると、Akiraはログ・ファイルにエラー・メッセージを書き込みます。プログラムのコマンドライン・パラメーターに関する追加情報もログ・ファイルに書き込まれます。ログ・ファイルが作成されると、Akiraはコマンド・ライン引数の解析を開始します。次のコマンド・ライン引数は、WindowsバージョンのAkiraで受け入れられます。

スクロールして表全体を表示

図6：Akiraランサムウェアで使用されるコマンド・ライン引数（出典：X-Force）

コマンド・ライン引数が解析されると、Akiraは「powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject”」というPowercellコマンドを使用して、すべてのシャドー・コピーを削除します。このコマンドは、検知を防ぐために、コンポーネント・オブジェクト・モデル（COM）オブジェクトを使用して実行されます。さらに、Akiraは次の名前のプロセスを強制終了を試みる場合があります。

スクロールして表全体を表示

図7：Akiraランサムウェアが強制終了を試みるプロセス（出典：X-Force）

これらのプロセスが強制終了されると、Akiraは暗号化を開始します。ファイルはChaCha20またはKCipher-2を使用して暗号化されます。2MBを超えるファイルはブロックごとに暗号化され、小さいファイルはコマンド・ラインの引数で指定された暗号化率に基づいて暗号化されます。デフォルトでは、2MBより小さいすべてのファイルの50%が暗号化されます。暗号化された各ファイルには.akiraという拡張子が付けられます。Akiraは、以下の拡張子を持つファイルを暗号化しません。

  • .exe
  • .dll
  • .lnk
  • .sys
  • .msi

kiraのLinuxバージョンは、対象のファイルをフィルタリングするために使用するWindowsバージョンと同じディレクトリーおよびファイル拡張子リストを使用しています（ファイルがLinuxではなくWindowsシステムにある場合でも）。Akiraは、以下のフォルダー内のファイルを暗号化しません。

  • tmp
  • winnt
  • temp
  • thumb
  • $Recycle.Bin
  • $RECYCLE.BIN
  • システムボリューム情報
  • ブート
  • Windows
  • Trend Micro

Akiraランサムウェアからの防御

組織は、Akiraランサムウェアに対する防御を強化するためにいくつかの措置を講じることができます。Akiraの脅威アクターを含め、ランサムウェア攻撃を防ぐ保証された方法はありませんが、これらの対策を実施することで、Akiraの攻撃者が好む手法を採用することが難しくなります。

  • 脆弱性の管理
    • 積極的かつ定期的なパッチ適用プロセスを実施して、すべての既知の脆弱性にタイムリーに対処できるようにします。これには、CVE-2023-20269などの脆弱性を軽減するための関連するセキュリティ・パッチのインストールが含まれます。
  • パスワード管理と多要素認証
    • 2024年X-Force Threat Intelligence Indexでは、有効な認証情報を最初の感染経路として使用するケースが前年から71%急増していることが確認されました。この傾向を考慮すると、認証情報の更新を常に強制し、可能な限りすべてのサービス、特にウェブ・メール、仮想プライベート・ネットワーク、および重大なシステムにアクセスする同様のチャネルとアカウントに対して多要素認証を実装することが不可欠です。
  • 違法市場での継続的な捜索
      • ディープ・ウェブは、脅威アクターがインフォスティーラーから認証情報やログ情報を取得するためには最適な環境です。これらのソースをプロアクティブに監視することで、企業内での侵害や侵入の可能性を減らすことができます。IBM X-Forceはこの監視機能をVision Retainerサービスの一環として提供しています。
  • IOCを使用したホスト/ネットワーク・ベースのソリューションのフィード
    • この記事の最後に記載されている侵害のインジケーター（IOC）は、ネットワーク上のAkiraランサムウェアを検知するために使用できます。

上記に加え、X-Forceは4月18日のレポートでCISAが提供したプロアクティブかつ是正的な措置を活用することを推奨しています。

IBM® X-Forceがインシデント対応、脅威インテリジェンス、攻撃的セキュリティサービスなど、サイバーセキュリティに関するあらゆる面でどのように支援できるか知りたい方は、こちらでミーティングのスケジュールをしてください

サイバーセキュリティーの問題やインシデントが発生している場合は、X-Forceに連絡して支援を受けてください：米国ホットライン 1-888-241-9812 | グローバルホットライン（+001）312-212-8034

スクロールして表全体を表示