TokyoBlackHatNews

darkreading.com 4分で読了

Akira RaaSがNutanix仮想マシンを標的に、重要組織を脅かす

1988年のアニメ映画『AKIRA』の静止画で、赤い服を着てレーザーガンを指差す人物

出典:Pictorial Press Ltd(Alamy Stock Photo経由)

アメリカおよびヨーロッパの複数の政府機関は、最近のAkiraランサムウェアの活動が重要インフラに「差し迫った脅威」をもたらしていると警告しました。

ほとんどのサイバー犯罪グループと同様に、Akiraランサムウェア・アズ・ア・サービス(RaaS)運営は、中小企業(SMB)を標的にして脅迫することを好みます。また、医療、製造、農業などの重要分野の大企業も標的にしています。

その継続的な重要分野への脅威を強調するため、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、保健福祉省(HHS)、FBI、フランス、ドイツ、オランダ、Europolの法執行機関が、Akiraの最新の侵害指標(IoC)および戦術・技術・手順(TTP)に関する共同勧告を木曜日に発表しました。特に、グループが被害者データを非常に迅速に流出させていること、新たなマルウェアツールやソフトウェアの脆弱性を利用していること、そしてこれまで脅威アクターがほとんど手を付けてこなかった新たなハイパーバイザー攻撃面に移行していることが指摘されました。

過去には、「Akiraが主要な脅威であると多くの観察者が認識するのが遅れたのは、ライフサイクル初期に無効な復号ツールが公開されたことで、偽りの安心感が生まれたためです。しかしグループは能力を拡大し、活動ペースを加速させ続けていました」と、FBIサイバーセキュリティ部門元副部長であり、現在はHalcyonのランサムウェアリサーチセンター上級副社長であるシンシア・カイザー氏は述べています。少なくともここ数年、Akiraはトップクラスの運営であり、「私たちが追跡している中でも最も動きの速いランサムウェアグループの一つです」と彼女は言います。

攻撃者がNutanix AHVを発見

Akiraを調査してきたArctic Wolf Labsのチームは、「Akiraを際立たせているのは、侵害された環境を暗号化のために準備する速さです」と振り返ります。

彼らによれば、重要な要因は「仮想インフラへの早期の注力です。仮想マシン(VM)ストレージやハイパーバイザープラットフォームを制御することで、複数の重要システムを同時に妨害できます」。この点で、Akiraはここ数か月でさらに攻撃を強化しています。

これまでAkiraは、市場をリードするハイパーバイザーであるESXi(VMware)やHyper-V(Microsoft)を攻撃してきました。しかし2025年6月の攻撃では、より小規模な競合であるNutanixのAcropolis Hypervisor(AHV)に関連する仮想マシンディスクファイルを暗号化しました。

Nutanixのウェブサイトによれば、27,000社以上の顧客にサービスを提供しており、米海軍、ナスダック、ロンドンのガトウィック空港など、重要分野の組織も含まれます。顧客は世界中に広がっており、金融アナリストは同社が近年着実に成長していると指摘しています。また、これらの顧客のうちAHVの導入率は約90%に達しているとも指摘されています。つまり、AHVはあまり知られていないものの、かなりの市場シェアを持ち、複数の重要組織にサービスを提供しています。

AHVはランサムウェア攻撃者にとって有望な標的であるだけでなく、サイバーセキュリティの防御側が注目しにくい場所でもあります。ESXiはハッカーに頻繁に狙われている一方で、Hyper-Vはそれほどでもありませんが、AkiraはAHVを標的にした最初の主要な脅威アクターのようです。

Akiraの新たな動向

当局は、Akiraの戦術における他の新たな動向も記録しています。例えば、エッジデバイスの既知で修正可能な脆弱性をいくつか悪用しており、重大なCVE-2024-40711(Veeam、信頼できないデータのデシリアライズ)やCVE-2024-40766(SonicWall、不適切なアクセス制御)などがあります。

また、AnyDeskやLogMeInなどの商用リモート管理・監視(RMM)ツールを使い、被害者ネットワークで管理者権限の操作を行っています。主な目的は、ファイアウォールやアンチウイルスエンジン、エンドポイント検出・対応(EDR)プラットフォームなどのセキュリティプログラムを無効化することです。

また、いくつかのランダムなマルウェアツールも武器として使われています。Akiraの実行者は「SystemBC」をプロキシボットおよびリモートアクセス型トロイの木馬(RAT)として利用しており、「StoneStop」と「PoorTry」という二重の脅威(それぞれWindowsユーティリティと悪意あるドライバー)をプロセス終了のために使用しています。

Akiraの戦術的な成功の証拠として、当局はグループが被害者のデータをわずか2時間強で流出させたこともあると指摘しています。また、2025年9月末時点(最新の活動を除く)で、Akiraはすでに身代金支払いで2億4,500万ドル近くを集めていました。

Arctic Wolf Labsのチームは「公的に知られているAkiraの被害者は1,000件以上ですが、実際の数はほぼ確実にそれ以上です」と付け加えています。

翻訳元: https://www.darkreading.com/threat-intelligence/akira-raas-nutanix-vms-critical-orgs

ソース: darkreading.com
#2025年サイバー攻撃 #Akira ransomware #Akiraランサムウェア #CACTUS RaaS #CISA #ESXiハイパーバイザー #Linux仮想マシン #Nutanix #セキュリティ脅威 #重要インフラ

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開