Akiraランサムウェアグループは過去1年間で数百の被害者を侵害し、洗練された攻撃ライフサイクルにより、初期アクセスからデータ暗号化までの時間を4時間以下に短縮しました(サイバーセキュリティ企業Halcyonの報告による)。
Akiraは2023年以降活動し、2025年9月までに被害者から少なくとも2億4,500万ドルの身代金を獲得しています。このサイバー犯罪グループは、現在は廃止されたContiランサムウェアグループの元メンバーとその関係者から構成されている可能性があり、デジタル恐喝への洗練されたアプローチで知られています。
その主な例はAkiraの感染サイクルの効率にあり、インシデント対応時間を数時間に短縮しています。Halcyonによると、Akiraはゼロデイ脆弱性の使用、初期アクセスブローカーからのエクスプロイト購入、多要素認証がないVPNの悪用で被害者に感染することで知られています。Akiraはまた「断続的な暗号化」と呼ばれるプロセスを使用し、大きなファイルを小さなブロックでより速く暗号化します。
「Akiraはより巧妙で攻撃的でなく、ランサムウェアが初期アクセスから流出、暗号化まで、検出されることなくわずか1時間でランサムウェア攻撃のキルチェーン全体を素早く移動できます」とHalcyonは木曜日に公開されたブログで述べています。「ほとんどの場合、初期アクセスから暗号化までの時間は4時間以下です。」
さらに、ほとんどのランサムウェアオペレーターは時間の「約90~95%」を暗号化マルウェアの開発に、5~10%をデクリプタの作成に費やす傾向がありますが、Halcyonはアキラが「サーバーイメージなどの大きなファイルの回復を確保するための広範な取り組み」を行っており、暗号化プロセスが中断された場合に回復できるようにするためにカスタム.akira拡張子でファイルを一時的に自動保存するほどであると述べています。
Halcyonのブログは、これらの努力は倫理的原則よりも、グループが機能的なデクリプタを提供することがビジネスが身代金を支払う可能性を高めると信じているためである可能性が高いと指摘しています。迅速な感染とともに企業により信頼できるデータ回復方法を提供するAkiraの組み合わせは、「多くのランサムウェアオペレーターとは一線を画しています。」
「初期アクセスから完全な暗号化に1時間以内で移動し、被害者の支払いをインセンティブする回復の保証を維持するグループの能力は、成熟したビジネス主導の犯罪企業を反映しています」とHalcyonは述べています。
このグループはVeeamバックアップおよびレプリケーションサーバー、Cisco VPN、SonicWallアプライアンスの脆弱性を悪用していることが観察されています。他のランサムウェアグループと同様に、Akiraは被害者に対してダブルエクストーションモデルを使用し、暗号化する前にデータを盗み、企業が支払わない場合はオンラインで盗まれたデータを公開すると脅します。
昨年、FBIとサイバーセキュリティおよびインフラストラクチャセキュリティ庁はAkiraを世界の主要なランサムウェア犯罪グループの1つとして指摘し、主に製造業、教育、IT、ヘルスケア、金融、農業部門の中小企業をターゲットにしています。
翻訳元: https://cyberscoop.com/akira-ransomware-initial-access-to-encryption-in-hours/
