TokyoBlackHatNews

bleepingcomputer.com 4分で読了

CISA、Nutanix VM を標的とする Akira ランサムウェアの Linux 暗号化ツールについて警告

Image

米政府機関は、Akira ランサムウェア・オペレーションが攻撃において Nutanix AHV 仮想マシンを暗号化していることが確認されたと警告しています。

CISA、FBI、国防総省サイバー犯罪センター(DC3)、保健福祉省(HHS)、および複数の国際パートナーによる更新済みの共同勧告は、Akira ランサムウェアが Nutanix AHV VM のディスクファイルに対する暗号化機能を拡張したことを警告しています。

この勧告には、FBI の捜査および 2025 年 11 月までのサードパーティの報告を通じて観測された、新たな侵害の痕跡(IoC)と戦術が含まれています。

攻撃における Nutanix VM の暗号化

この勧告は、2025 年 6 月に Akira の攻撃者が Nutanix AHV 仮想マシンのディスクファイルの暗号化を開始したと警告しています。

「2025 年 6 月のインシデントにおいて、Akira の脅威アクターは初めて Nutanix AHV VM のディスクファイルを暗号化し、SonicWall の脆弱性である Common Vulnerabilities and Exposures (CVE)-2024-40766[Common Weakness Enumeration (CWE)-284: 不適切なアクセス制御]を悪用することで、VMware ESXi と Hyper-V を超えてその能力を拡大しました」と、更新された勧告には記載されています。

Nutanix の AHV プラットフォームは、Nutanix のインフラストラクチャ上で仮想マシンを実行・管理する Linux ベースの仮想化ソリューションです。

広く導入されていることから、VMware ESXi や Hyper-V と同様に、このプラットフォーム上の仮想マシンがランサムウェア集団の標的になり始めたとしても不思議ではありません。

CISA は Akira がどのように Nutanix AHV 環境を標的にしているかを共有していませんが、BleepingComputer が分析した Akira の Linux 暗号化ツールは、Nutanix AHV で使用される仮想ディスク形式である .qcow2 拡張子を持つファイルの暗号化を試みます。

しかし、.qcow2 ファイル拡張子は少なくとも 2024 年末から Akira の Linux 暗号化ツールによって標的にされています。

さらに、Nutanix VM に対する Akira の注力は、VMware ESXi を標的とする場合ほど洗練されてはいません。

Linux 暗号化ツールは、ディスクを暗号化する前に esxclivim-cmd を使用して ESXi 仮想マシンを正常にシャットダウンしますが、Nutanix AHV に対しては .qcow2 ファイルを直接暗号化するだけであり、AHV VM の電源を落とすためにプラットフォームの aclincli コマンドは使用しません。

その他の更新点

更新された勧告には、Akira の侵入手法および侵害後の戦術に関する新たな情報も含まれています。

企業ネットワークへの侵入にあたり、Akira のアフィリエイトは、公開されたルーター上の盗まれた、または総当たり攻撃で入手した VPN および SSH の認証情報を一般的に使用し、公開されたファイアウォール上の SonicWall の脆弱性CVE-2024-40766)を悪用します。

一度アクセスを獲得すると、パッチ未適用の Veeam Backup & Replication サーバー上の CVE-2023-27532 または CVE-2024-40711 の脆弱性を悪用し、バックアップへのアクセスおよび削除を行います。

ネットワーク内部では、Akira のメンバーが nltest、AnyDesk、LogMeIn、Impacket の wmiexec.py、VB スクリプトなどのユーティリティを使用して偵察を行い、他のシステムへ横展開し、永続性を確立していることが観測されています。脅威アクターは、エンドポイント検出ツールを削除し、新たな管理者アカウントを作成して永続性を維持することも一般的です。

あるインシデントでは、攻撃者はドメインコントローラー VM の電源を落とし、その VMDK ファイルをコピーして新しい VM に接続し、NTDS.dit ファイルと SYSTEM ハイブを抽出してドメイン管理者アカウントを取得しました。

勧告では、以前 Akira のオペレーションに関連付けられていた「Megazord」ツールは、2024 年以降は使用されていないようだと指摘しています。

Akira は一部の攻撃において、わずか 2 時間でデータを流出させており、コマンド&コントロールには Ngrok などのトンネリングツールに依存して、境界監視を回避する暗号化チャネルを確立しています。

この勧告は、組織に対し、更新されたガイダンスを確認し、推奨される緩和策を実装するよう促しています。

CISA と FBI はまた、定期的なオフラインバックアップ、多要素認証の徹底、および既知の悪用済み脆弱性に対する迅速なパッチ適用を引き続き推奨しています。

翻訳元: https://www.bleepingcomputer.com/news/security/cisa-warns-of-akira-ransomware-linux-encryptor-targeting-nutanix-vms/

ソース: bleepingcomputer.com
#Akiraランサムウェア #CISA勧告 #Linux暗号化マルウェア #Nutanix AHV #SonicWall脆弱性CVE-2024-40766 #Veeam Backup脆弱性 #VMware ESXiとHyper-V #VPN・SSH認証情報侵害 #仮想マシン攻撃 #企業向けランサムウェア対策

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用