新たに特定されたランサムウェアキャンペーンは、南米のWindowsユーザーを標的にしており、悪名高いAkiraランサムウェアグループを密接に模倣した戦術を活用しています。
ESETの調査によると、このキャンペーンの背後にある脅威行為者は、Akiraのブランディング、身代金要求メモ、およびダークウェブインフラストラクチャの参照を複製することにより、Akiraの評判を悪用しようとしています。
これには、元のAkiraグループが使用したものに似たTorベースのURLの使用、および被害者に配信された身代金メッセージの同様の文言と構造が含まれます。
ESETのセキュリティ研究者がこの作戦を発見しており、攻撃は一見Akiraにリンクしているようにみえますが、実際にはリークされたBabukランサムウェアのソースコードに基づいた修正されたエンクリプタを使用していると述べています。
ランサムウェア自体は暗号化されたファイルに「.akira」拡張子を追加し、被害者が周知のAkira操作に対処しているという幻想をさらに強化しています。
しかし、技術的分析により、基盤となる暗号化メカニズムが大きく異なることが明らかになります。
Akiraスタイルのランサムウェアキャンペーン
Akiraのオリジナルコードベースを使用する代わりに、攻撃者は2021年にソースコードが流出して以来、サイバー犯罪者に広く再利用されているBabuk派生のエンクリプタに依存しています。
このBabukコードの再利用は、脅威行為者が既存のマルウェアフレームワークを流用して新しいキャンペーンを迅速に立ち上げるランサムウェア環境における増加傾向を浮き彫りにしています。
Babukの暗号化機能とAkiraのブランディングを組み合わせることで、攻撃者は被害者に身代金を支払うよう脅迫する可能性を高めています。
このキャンペーンは主に南米の組織と個人を標的としていますが、正確な感染経路は不明のままです。
初期アクセスには、フィッシングメール、悪意のある添付ファイル、またはパッチが適用されていないWindowsシステムの脆弱性の悪用など、一般的な手法が含まれる可能性があります。
ネットワーク内に入ると、ランサムウェアが実行されてファイルの暗号化を開始し、その後、被害者にTor経由で攻撃者に連絡するよう指示する身代金メモが配置されます。
ESETの研究者は、その外観にもかかわらず、このキャンペーンは元のAkiraランサムウェアグループと直接関連がないことを強調しています。
その代わりに、攻撃者が信頼性を得て被害者に圧力をかけるために確立されたランサムウェア操作を意図的に模倣するサイバー犯罪における「ブランド詐称」の例を表します。
Windowsユーザーは警戒を保つよう促されています
この発展は、ランサムウェアインシデントを分析する際に表面レベルの指標のみに依存しないことの重要性を強調しています。
組織は脅威を正確に特定し、適切な対応を決定するために、徹底的な技術的調査を実施する必要があります。
このような攻撃のリスクを軽減するために、セキュリティ専門家はシステムとソフトウェアを最新の状態に保つこと、強力なエンドポイント保護を実装すること、および定期的なオフラインバックアップを維持することを推奨しています。ユーザーの認識も重要な役割を果たします。フィッシングはランサムウェア感染の最も一般的なエントリーポイントの1つのままです。
ランサムウェアの戦術が進化し続けるにつれて、このようなルックアライクキャンペーンの出現は、サイバー犯罪者が影響を最大化しながら労力を最小化するために戦略をどのように適応させているかを示しています。
セキュリティチームは警戒を続け、異常なファイル拡張子、疑わしいネットワークアクティビティ、および不正な暗号化プロセスを監視する必要があります。
翻訳元: https://gbhackers.com/akira-style-ransomware/
