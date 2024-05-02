この記事は、Aaron Gdanskiの貢献により作成されました。
この脅威アクター・グループが2023年3月に出現して以来、IBM X-Forceのインシデント対応サービスと脅威インテリジェンス・チームは、いくつかのAkiraランサムウェア攻撃を調査してきました。このブログでは、ランサムウェアのデプロイに使用されるコマンド、CVE-2023-20269のエクスプロイテーション、ランサムウェア・バイナリーの分析など、このランサムウェアの背後にある脅威アクターを観察する中で得られたAkiraに関するX-Force独自の視点を共有します。
Akiraランサムウェア・グループは、現在のサイバーセキュリティー・ランドスケープで悪名を轟かせています。これは、サイバーセキュリティーおよびインフラストラクチャー・セキュリティー庁（CISA）による最近のサイバーセキュリティー・アドバイザリーや、複数の業界や地域にわたってAkiraランサムウェア攻撃者が数百人の被害者を出したことにも裏付けられています。
Akiraの脅威アクターは、データの漏洩と全社的な暗号化の両方を含む二重恐喝スキームを採用しています。Akiraの関連会社は、同グループがオンオンサイトでファイルを公開し、影響を受けたファイルを回復するための復号キーを受け取ることを防ぐために、身代金の支払いを要求しています。このグループ名は、1988年に公開された同名のアニメ映画のプロットを暗示しているかのようです。
Akiraランサムウェアの攻撃者はダークウェブ上に2つのサイトをデプロイしていました。各攻撃後にAkiraが残した身代金要求メッセージの両方に、.onionの場所が記載されていました。これらのサイトは、1980年代初頭のARPANETを彷彿とさせる方法で定型化されています。
最初のサイトには、ランサムウェア・グループに関する一般情報、グループの被害者から盗んだ記録の宣伝、データ公開の可能性に関するニュース、およびグループへの連絡方法などが記載されています。
図1：Akiraランサムウェア.onionダークウェブの悪名高いサイト（出典：X-Forceのダークウェブ調査）
2番目のサイトは交渉に使用されます。このサイトにアクセスするには、ユーザーは身代金要求メッセージに含まれているパスワードを一意の識別子として入力する必要があります。
図2：Akiraランサムウェア.onionダークウェブ交渉ポータル（出典：X-Forceのダークウェブ調査）
アクセスを取得すると、交渉ポータルには、Akiraグループが被害者の組織から盗んだデータのサンプルを準備していることを被害者に伝えるメッセージが表示されます。このプロセスは、所要時間に基づいて、脅威アクターが手動で行っている可能性があります。準備が整うと、脅威グループは、オペレーション中に盗み出されたフォルダーとファイルのリストを含むファイルを添付し、暗号化が行われる前にAkiraの攻撃者が本物のファイルを盗んだことを被害者に証明します。
図3：ダークウェブ交渉ポータル内のAkiraサポート・チャット（出典：Lab539）
2023年9月初旬にCVE-2023-20269が公開されてから、Akiraランサムウェアの脅威アクターは、この脆弱性を広く悪用してきました。CVE-2023-20269は、Cisco Adaptive Security Appliance（ASA）およびFirepower Threat Defense（FTD）の仮想プライベート・ネットワーク（VPN）機能に影響を与え、不正なリモート攻撃者が既存のアカウントに対してブルートフォース攻撃を実行できるようになります。
最初のアクセスの後、このグループは、偵察、データ窃盗、横移動、および特別に作成されたスクリプトのためのさまざまなツールやマルウェアを使用して、ランサムウェア・バイナリーをネットワーク全体に拡散します。
図4：Akiraランサムウェア・アクターが使用するツール・スイート（出典：X-Force）
人間の介入なしに拡散または複製するワーム動作モジュールを備えた一部のランサムウェア・ファミリーとは異なり、Akiraランサムウェアは、ネットワーク内で感染を広めるためにアクティブな手順を必要とします。一般的なオプションは、仮想アクターがこのレベルのアクセスに達した場合にドメイン・コントローラー・ポリシーを使用すること、またはバッチまたはbashスクリプトによってトリガーされるAkiraバイナリーに埋め込まれた機能を使用することです。
X-Forceは、Akiraランサムウェアの攻撃者が偵察活動を完了した後に、以下のパターンでバッチ・スクリプトを使用することを確認しました。
「start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$」
Akiraランサムウェア・バイナリーは、実行が行われた現在のディレクトリーにテキスト・ファイルを作成します。
IBM X-Forceは、AkiraランサムウェアのWindowsとLinuxの両方でバイナリーを分析しました。AkiraのLinuxバージョンとWindowsバージョンは同様に機能しますが、主な違いは暗号化オペレーションに使用されるライブラリーにあります。Akiraは、暗号化されたファイルのファイル名に「.akira」を追加し、ファイルが暗号化されている各ディレクトリーに身代金要求メッセージをドロップします。身代金要求メッセージには、被害者がチャット・システムにログオンして身代金を交渉するために使用できるTORリンクとコードが含まれています。
ある例では、Akiraランサムウェア・ファイルは2023年12月末（特に2023-12-28 14:49:57 UTC）にコンパイルされ、C++言語で開発されていました。
図5：Akiraランサムウェア・コンパイルの日付タイムスタンプ—2023年12月28日（出典：X-Force）
実行されると、Akiraランサムウェアは現在のディレクトリーにログ・ファイルを作成します。ログ・ファイルのファイル名は、システムの現在現地時間に基づいており、その形式は「Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt」となります。ファイルの暗号化中にエラーが発生すると、Akiraはログ・ファイルにエラー・メッセージを書き込みます。プログラムのコマンドライン・パラメーターに関する追加情報もログ・ファイルに書き込まれます。ログ・ファイルが作成されると、Akiraはコマンド・ライン引数の解析を開始します。次のコマンド・ライン引数は、WindowsバージョンのAkiraで受け入れられます。
図6：Akiraランサムウェアで使用されるコマンド・ライン引数（出典：X-Force）
コマンド・ライン引数が解析されると、Akiraは「powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject”」というPowercellコマンドを使用して、すべてのシャドー・コピーを削除します。このコマンドは、検知を防ぐために、コンポーネント・オブジェクト・モデル（COM）オブジェクトを使用して実行されます。さらに、Akiraは次の名前のプロセスを強制終了を試みる場合があります。
図7：Akiraランサムウェアが強制終了を試みるプロセス（出典：X-Force）
これらのプロセスが強制終了されると、Akiraは暗号化を開始します。ファイルはChaCha20またはKCipher-2を使用して暗号化されます。2MBを超えるファイルはブロックごとに暗号化され、小さいファイルはコマンド・ラインの引数で指定された暗号化率に基づいて暗号化されます。デフォルトでは、2MBより小さいすべてのファイルの50%が暗号化されます。暗号化された各ファイルには.akiraという拡張子が付けられます。Akiraは、以下の拡張子を持つファイルを暗号化しません。
kiraのLinuxバージョンは、対象のファイルをフィルタリングするために使用するWindowsバージョンと同じディレクトリーおよびファイル拡張子リストを使用しています（ファイルがLinuxではなくWindowsシステムにある場合でも）。Akiraは、以下のフォルダー内のファイルを暗号化しません。
組織は、Akiraランサムウェアに対する防御を強化するためにいくつかの措置を講じることができます。Akiraの脅威アクターを含め、ランサムウェア攻撃を防ぐ保証された方法はありませんが、これらの対策を実施することで、Akiraの攻撃者が好む手法を採用することが難しくなります。
上記に加え、X-Forceは4月18日のレポートでCISAが提供したプロアクティブかつ是正的な措置を活用することを推奨しています。
IBM® X-Forceがインシデント対応、脅威インテリジェンス、攻撃的セキュリティサービスなど、サイバーセキュリティに関するあらゆる面でどのように支援できるか知りたい方は、こちらでミーティングのスケジュールをしてください。
サイバーセキュリティーの問題やインシデントが発生している場合は、X-Forceに連絡して支援を受けてください：米国ホットライン 1-888-241-9812 | グローバルホットライン（+001）312-212-8034
