TokyoBlackHatNews

theregister.com 4分で読了

CISA、AkiraランサムウェアがNutanix AHVを標的にし始めたことで差し迫った脅威を警告

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、重要分野に差し迫った脅威をもたらすAkiraランサムウェアの活動に関し、新たなガイダンスを組織に発表しました。

FBIおよび欧州の法執行機関と共同で作成した最新の勧告によると、Akiraはその能力を拡大し、従来のVMware ESXiやHyper-Vへの攻撃から進化し、現在はNutanix AHV仮想マシンを標的にしているとしています。

当局は6月にNutanixハイパーバイザーへの攻撃を確認しましたが、被害を受けた組織については明らかにしておらず、勧告の根拠となるデータは2025年11月時点のものだと付け加えました。

重要インフラ(CNI)組織は、ロシアのランサムウェア集団による新たな攻撃の波に最大限の警戒を呼びかけられており、同集団の犯罪収益は現在2億4417万ドルに達しているとされています。

Nutanixのハイパーバイザーは市場をリードする製品の一つであり、主に医療、金融、政府などの分野で利用されています。

Akiraは通常、中小企業を標的にすることで知られていますが、同グループのメンバーは大企業への攻撃も主張しています。

勧告によれば、同グループはこれまで「製造業、教育機関、情報技術、医療・公衆衛生、金融サービス、食品・農業分野の組織を特に好む傾向が見られる」としています。

Akiraの協力者はVPN製品の脆弱性を利用して標的ネットワークへの初期アクセスを得ていますが、勧告では特に、Rapid7が以前明らかにした、誤設定されたSonicWall SSL-VPNを狙う重大な脆弱性CVE-2024-40766について明記しています。

BitSightの研究者エマ・スティーブンス氏は9月にThe Registerに対し、この情報が初めて広まった時点で43万8,000台以上の脆弱なSonicWallデバイスがインターネット上に公開されており、「重大な攻撃対象領域を形成している」と述べました。

その時点で、AkiraおよびFogランサムウェアの協力者らは約1年間同じ脆弱性を悪用していましたが、標的によってさまざまな手法を使い分けているとのことです。

「一部のケースでは、初期アクセスを侵害されたVPN認証情報を使って得ており、初期アクセスブローカーを利用したり、VPNエンドポイントに対してブルートフォース攻撃を行う場合もあります」と勧告は述べています。

「さらに、Akiraの脅威アクターはSharpDomainSprayなどのツールを使ったパスワードスプレー攻撃を展開し、アカウント認証情報を取得しています。別の事例では、Akiraの脅威アクターがルーターのIPアドレスを悪用し、SSH(Secure Shell)プロトコルを介して初期アクセスを得たことを示す指標もあります。 

「標的となったルーターを経由してトンネルを作成した後、Akiraの脅威アクターは、未修正のVeeamバックアップサーバーのVeeam Backup and Replicationコンポーネントに存在するCVE-2023-27532CVE-2024-40711などの既知の脆弱性を悪用します。」

初期アクセスを得た後、Akiraの協力者は被害者ネットワーク内を横移動し、最終的にNutanixのAHVプラットフォームに到達して暗号化ペイロードを展開します。

これらの仮想マシンが侵害されると、通常、業務に不可欠なデータやその他の機密情報が流出する結果となります。

Swimlaneのリードセキュリティオートメーションアーキテクト、ニック・タウセック氏は、CISAなどによる今回の更新について「注目すべき、かつ憂慮すべき内容」であり、Akiraの活動が洗練されてきていることを示唆していると述べました。

「Akiraは、一般的なセキュリティ対策だけでは完全に防御できないレベルに進化しています」と同氏は付け加えました。「最近のSonicWall侵害では、脅威アクターがワンタイムパスワードのシードを侵害したり、他の方法で認証トークンを生成することで、被害者のMFAを回避することができました。

「組織は、既知の悪用された脆弱性について、パッチが公開され次第速やかに対処し、すべてのオペレーティングシステムを最新の状態に保つ必要があります。」

勧告には、Akiraによる最新の攻撃に特有の侵害指標(IOC)と、K-12学校向けを含む推奨される緩和策が更新されています。

ただし、一般的に言えば、緩和策は2024年にこの文書が初めて公開された時点から大きく変わっておらず、他のランサムウェアグループに関するものと大きな違いはありません。

緩和策のリストは多岐にわたりますが、従来のアドバイスは今も有効です。バグの修正、MFAの可能な限り広範な導入、強力なパスワードポリシーの徹底、バックアップの維持、ネットワーク分割などが、ランサムウェア対策として最も推奨される行動です。

Akiraは2023年にContiから派生した複数のグループの一つとして登場し、以来、同種のグループの中でもリーダー的な地位を維持し続けています。

グループがこれまでに犯行声明を出した注目すべき攻撃には、英国のバスボム販売業者Lushスタンフォード大学、フィンランドのITサービスプロバイダーTietoevry、トロント動物園などがあります。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/14/cisa_akira_ransomware/

ソース: go.theregister.com
#2025年サイバーセキュリティ #Akiraランサムウェア #CISA #Conti派生 #IoC(侵害指標) #Nutanix AHV #SonicWall脆弱性 #VPN攻撃 #多要素認証(MFA) #重要インフラ

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張