連邦サイバー当局は木曜日、アキラランサムウェアグループの手法、使用するツール、初期アクセスに悪用する脆弱性に関する新たな詳細を、共同サイバーセキュリティ勧告の発表とともに共有しました。
2023年3月に初めて登場した金銭目的のこのグループのメンバーは、Storm-1567、Howling Scorpius、Punk Spider、Gold Saharaなど他の脅威グループと関係があり、解散したContiランサムウェアグループともつながりがある可能性があると当局は述べています。アキラはダブルエクストーションモデルを使用し、データを盗んだ後にシステムを暗号化して被害者への圧力を強めます。
アキラランサムウェアは9月下旬時点で2億4400万ドル以上のランサムウェア収益を上げていると、FBIとサイバーセキュリティ・インフラストラクチャーセキュリティ庁は共同勧告で述べました。このグループは主に中小企業を標的としており、製造、教育、IT、医療、金融、農業分野で多くの被害者が出ています。
「FBIにとって、これは我々が捜査している変種の中でトップ5に入ります」とFBIサイバー部門のアシスタントディレクター、ブレット・レザーマン氏は木曜日の記者説明会で述べました。「これは重大です。このグループは非常に重大で、おそらく我々のトップ5に入るでしょう。」
ランサムウェアはFBIにとって最大のサイバー犯罪の脅威であり、「損失額、アクティブな変種の数、その破壊的影響の点で非常に大きい」と彼は述べました。「FBIは、米国企業を標的とする130以上のランサムウェア変種を、ほぼあらゆる重要インフラ分野で捜査しています。」
この勧告は、Europolおよびフランス、ドイツ、オランダのサイバー当局の支援も受けており、アキラが悪用していることが知られている新たな6つの脆弱性が含まれています。これには、Ciscoファイアウォールおよび仮想プライベートネットワーク、Windows、VMware ESXi、Veeam Backup and Replication、SonicWallファイアウォールに関する欠陥が含まれます。
「彼らが[共同勧告]で公開された脆弱性を積極的に調査し、活動を収益化しようとしていることは分かっています」とレザーマン氏は述べました。
研究者らは以前、アキラがCVE-2024-40766という1年前の脆弱性を悪用し、7月中旬から8月初旬にかけて約40件の被害者を出したと警告していました。この急増の後、その欠陥を積極的に悪用したランサムウェア攻撃の新たな波が続きました。
共同勧告は、アキラの追跡や防御に関する以前のガイダンスを更新するものであり、特定の攻撃に対応したものではないと、CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクター、ニック・アンダーセン氏は述べました。
「これはむしろ、我が国のランサムウェアの敵対者が絶えず戦術を進化させているという現実を反映しており、それゆえ我々も防御を強化することが重要だということです」と彼は述べました。
アキラは迅速に行動し、ある事例では初期アクセスからわずか2時間強でデータを流出させていると、勧告は伝えています。
FBIや研究者らは、アキラが盗まれた認証情報、脆弱性、ブルートフォース攻撃やパスワードスプレー攻撃を利用してシステムに侵入していることを確認しています。当局によると、アキラはAnyDeskやLogMeInなどのリモートアクセスツールを悪用して持続性を維持し、新しいアカウントを作成して足場を築き、権限昇格のためのツールも活用しています。
侵害の兆候の一部は今月に入ってからも確認されていると、レザーマン氏は述べました。
「攻撃者は非常に適応力が高く、行動において運用上のセキュリティを重視しています。彼らの攻撃はますます高度化し、複雑かつ多層的になっています」と彼は付け加えました。「被害者にとって非常に高額なコストがかかる場合があり、対策費用が元の要求額をはるかに上回ることもよくあります。」
翻訳元: https://cyberscoop.com/akira-ransomware-fbi-cisa-joint-advisory/
