アキラランサムウェアグループは、米国、フランス、ドイツ、オランダの政府機関による最新の共同勧告によると、その悪質な活動から2億4400万ドル以上の収益を上げています。
少なくとも2023年3月から活動しているこのハッキンググループは、主にVMware ESXiサーバー向けにカスタマイズされたランサムウェアの亜種を展開し、北米、ヨーロッパ、オーストラリアの企業や重要インフラ組織を標的とした攻撃で知られています。
しかし今年、このグループはツールセットを拡大し、2025年6月の攻撃ではNutanix Acropolis Hypervisor(AHV)のVMディスクファイルを暗号化し、CVE-2024-40766として追跡されているSonicWallファイアウォールの脆弱性を悪用しました。
さらに、このランサムウェアギャングは今年、初期アクセスのために5つの脆弱性を新たに悪用し始めました。その中にはCVE-2020-3580(Cisco ASAおよびFTD)、CVE-2023-28252(Windows)、CVE-2024-37085(VMware ESXi)、CVE-2023-27532およびCVE-2024-40711(Veeam Backup & Replication)が含まれます。
CVE-2024-40766の悪用に加え、アキラのオペレーターは盗まれた認証情報を使ってSonicWall機器を侵害していました。初期アクセスは、アクセスブローカーを介するか、VPNエンドポイントへのブルートフォース攻撃によっても達成されました。
「さらに、アキラの脅威アクターはSharpDomainSprayなどのツールを使用してパスワードスプレー技術を展開し、アカウント認証情報へのアクセスを得ています」と、更新された共同勧告は述べています。
一部の攻撃では、ハッカーはルーターのIPアドレスを悪用してSSHアクセスを獲得し、Ngrokなどのツールを使ってコマンド&コントロール(C&C)サーバーとの通信をトンネリングし、その後公開されたVeeamの脆弱性を悪用して未修正のサーバーを侵害しました。
アキラのオペレーターは、Visual Basic(VB)スクリプトの使用、ネットワークおよびドメイン探索のためのnltestコマンドの実行、AnyDeskやLogMeInなどのリモートアクセスツールの展開、Impacketを使ったリモートコマンドwmiexec.pyの実行、EDR製品のアンインストールによる検知回避などが確認されています。
攻撃者は、ユーザーアカウントを作成して管理者グループに追加することで侵害環境内に足場を築き、Veeamサービスを悪用して権限昇格を行い、AnyDesk、LogMeIn、RDP、SSH、MobaXtermを使って横移動していました。
「報告されたインシデントでは、アキラの脅威アクターがドメインコントローラーのVMを一時的にシャットダウンし、VMDKファイルをコピーして新たに作成したVMにアタッチすることで、Virtual Machine Disk(VMDK)ファイルの保護を回避しました。この一連の行動により、NTDS.ditファイルとSYSTEMハイブを抽出し、最終的に高権限のドメイン管理者アカウントを侵害することができました」と勧告は述べています。
一部の攻撃では、アキラグループは初期アクセスから2時間以内に被害者の環境からデータを流出させていました。
その後、ハッカーはランサムウェアを実行して被害者のファイルを暗号化(.akira、.powerranges、.akiranew、.aki拡張子を付加)し、ルートディレクトリおよび各ユーザーのホームディレクトリに身代金要求メモを配置しました。
翻訳元: https://www.securityweek.com/akira-ransomware-group-made-244-million-in-ransom-proceeds/
