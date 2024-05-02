スクロールして表全体を表示

図4：Akiraランサムウェア・アクターが使用するツール・スイート（出典：X-Force）

人間の介入なしに拡散または複製するワーム動作モジュールを備えた一部のランサムウェア・ファミリーとは異なり、Akiraランサムウェアは、ネットワーク内で感染を広めるためにアクティブな手順を必要とします。一般的なオプションは、仮想アクターがこのレベルのアクセスに達した場合にドメイン・コントローラー・ポリシーを使用すること、またはバッチまたはbashスクリプトによってトリガーされるAkiraバイナリーに埋め込まれた機能を使用することです。

X-Forceは、Akiraランサムウェアの攻撃者が偵察活動を完了した後に、以下のパターンでバッチ・スクリプトを使用することを確認しました。

「start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$」

開始コマンドは、新しいインスタンス を作成するために使用されます。その結果、各命令を独立して実行する新しいプロセス・スレッドが生成されます。

を作成するために使用されます。その結果、各命令を独立して実行する新しいプロセス・スレッドが生成されます。 多くの場合、発見されたバイナリーは脅威アクターによって特別に作成されたものであり、そのIOCはこれまでどの脅威インテリジェンス・フィードにも見られなかったものである。

-pを含む引数には、さまざまなIPターゲットが与えられ、マッピングされた場所が暗号化されるように移動します。

脅威アクターは既存のオペレーション機能を利用し、活動を正当なものと見せかけているようです。

Akiraランサムウェア・バイナリーは、実行が行われた現在のディレクトリーにテキスト・ファイルを作成します。