日常的に行われる合併・買収(M&A)が恐喝犯にとっての「抜け道」になっており、ReliaQuestによると、Akiraのアフィリエイトは買収によって引き継がれた侵害済みのSonicWall機器を足掛かりにして、親会社側のネットワークへ侵入しているという。
同社が6月から10月にかけて分析した、Akira攻撃のうち、欠陥のあるSonicWall製SSL VPNアプライアンスが関与していた全てのケースで、ランサムウェアのオペレーターは、先に小規模企業側のSonicWall機器を侵害しておき、その後にそれらの企業を買収した大企業側へとアクセスを広げていた。
「これらのケースでは、買収側の企業は、新たな環境内にこうしたデバイスが存在していること自体を把握しておらず、その結果、重大な脆弱性がさらされたままになっていました」と、ReliaQuestの脅威インテリジェンスアナリストであるThomas Higdonは、火曜日に公開したブログで述べている。
夏の間、Akiraのアフィリエイトは欠陥のあるSonicWall製ファイアウォールやSSL VPNのミスコンフィグレーションを悪用し、脆弱なデバイスへのアクセスを得て、ランサムウェア攻撃やデータ窃取攻撃を実行していた。
セキュリティ企業は、犯罪者が意図的にM&Aを標的にしていたかどうかは断定できないとしつつも、SonicWall製SSL VPNデバイスは中小企業で広く使われており、こうした企業こそが買収の対象になりやすいと指摘している。
M&A以外にも、Akiraランサムウェア感染には共通点が3つあった。ゾンビ化した特権認証情報、デフォルトもしくは予測しやすいホスト名、そしてエンドポイント保護の欠如である。
したがって、自社がM&Aの最中であればなおさらだが、この種のランサムウェア作戦やその他の攻撃の被害に遭いたくないのであれば、自社のIT環境に存在するセキュリティギャップをきちんと塞いでおく必要がある。
The RegisterはReliaQuestに対し、同社が分析したインシデントの件数を尋ねたが、研究者らは回答を控えた。
しかし、これらすべての侵入において、侵害されたSonicWallデバイス経由で企業ネットワークへのアクセスを得た直後に、攻撃者は買収プロセス中に引き継がれた特権アカウントを物色し始めたと説明している。これには、古いマネージドサービスプロバイダー(MSP)のアカウントやレガシーな管理者認証情報など、買収側の企業には存在自体が知られておらず、通常は監視もパスワードローテーションも行われていないものが含まれていた。
「我々が分析したインシデントでは、レガシーな管理者認証情報を悪用することで、Akiraのオペレーターは機密性の高いシステムへアクセスし、平均9.3時間でドメインコントローラー(DC)に到達していました」とHigdonは記し、ケースによっては5時間以下で到達していたと付け加えた。
次のステップとして、彼らはネットワークをスキャンし、デフォルトもしくは予測しやすい名前を持つホストを探した。これにより、ランサムウェアの一味はドメインコントローラーやアプリケーションサーバー、その他の高価値サーバーを容易に特定し、感染させることができた。
これらすべての侵入において、ラテラルムーブメント(横展開)からランサムウェアの展開までに要した時間は、平均で1時間未満だった。
さらに、すべてのケースで、Akiraのアフィリエイトはエンドポイント検知・応答(EDR)製品が有効化されていない重要ホストを求めて企業ネットワークをスキャンしていた。未保護のホストが存在しない場合には、エンドポイントセキュリティ製品を無効化するために、Dynamic Link Library(DLL)のサイドローディング手法を用いようとしていた。
このエンドポイントセキュリティの欠如により、防御側が検知する前にシステムを暗号化することも容易になっていた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/25/akira_ransomware_acquisitions/
