サイバー攻撃速報EV証明書を悪用する脅威者の手口

サイバー攻撃速報EV証明書を悪用する脅威者の手口

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

アキラ

Akira Ransomware Groupは、その「レトロな美学」と、主にVPNサービスの脆弱性や既知のCiscoの脆弱性を悪用することで知られている。

検知 アキラのTTP
貴社はAkiraランサムウェア攻撃に対して安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

Akira ランサムウェアの起源

2023年3月に初めて確認されたAkiraランサムウェアグループは、世界中の様々な業界を標的とした高度なランサムウェア攻撃で知られています。CONTIが活動を停止した後、複数のCONTI関連会社がRoyal、BlackBasta、そして潜在的にはAkiraのような独立したキャンペーンに移行したことから、かつてのCONTIランサムウェアグループとの関係については憶測があります。このグループは、Ransomware-as-a-Service(RaaS)モデルの下で運営されており、アフィリエイトは身代金の支払いの分け前と引き換えにランサムウェアを使用することができます。

報告によると、Akiraの関連会社は、Snatchや BlackByteといった他のランサムウェアの運営とも連携しており、SnatchランサムウェアとつながりのあるAkiraのオペレーターが使用していたツールのオープンディレクトリがその証拠となっている。Akiraランサムウェアの最初のバージョンはC++で書かれており、拡張子「.akira」のファイルを追加し、「akira_readme.txt」という名前のランサムノートを作成し、部分的にConti V2のソースコードに基づいていました。2023年6月29日、暗号化メカニズムに欠陥があったため、このバージョン用の復号器がAvastによってリリースされたと報告されています。

その後、2023年7月2日に復号化の欠陥を修正した新バージョンがリリースされた。このバージョンはRustで書かれ、「megazord.exe」と名付けられ、暗号化されたファイルの拡張子を「.powerranges」に変更するという。Akiraの最初のアクセス・ベクトルのほとんどは、1要素認証を使用するCisco VPNデバイスをブルートフォースで試みるもので、不正アクセスに対して脆弱になっている。さらに、このグループは、既知の脆弱性(特にCVE-2019-6693と CVE-2022-40684)を悪用して、標的のシステムに初期アクセスすることが確認されています。

アキラの出自は不明だが、その活動は高度な技術力と組織力を示唆している。

地図製作: OCD

Akira ランサムウェアの起源
ターゲット

Akira ランサムウェアの標的

アキラの対象国

Akiraは、北米、ヨーロッパ、アジアで攻撃を確認し、世界的な広がりを見せている。その無差別的な標的パターンは、地理的な場所に関係なく脆弱なシステムを悪用することに重点を置いていることを示唆している。

画像ソース ランサムウェア.ライブ

アキラの対象産業

Akiraランサムウェアは、ヘルスケア、金融サービス、教育、製造業など幅広い業界を標的としている。その攻撃は、重要なサービスや業務を妨害し、被害を受けた組織に多大な財務的・風評的損害を与えています。

スクリーンショットの出典 サイブル

アキラの対象産業

Akiraランサムウェアは、ヘルスケア、金融サービス、教育、製造業など幅広い業界を標的としている。その攻撃は、重要なサービスや業務を妨害し、被害を受けた組織に多大な財務的・風評的損害を与えています。

スクリーンショットの出典 サイブル

アキラの犠牲者

517人以上の被害者がAkiraに狙われている。主な被害者には、大手医療機関、一流大学、著名な金融会社などが含まれる。このような攻撃によって機密データが流出し、被害者に身代金の支払いを迫るために利用されることが多い。

ソース ランサムウェア・ライブ

攻撃方法

アキラの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Akira は通常、フィッシングメール、公開アプリケーションの脆弱性の悪用、または侵害された認証情報の活用を通じて最初のアクセスを取得します。組織内の特定の個人を標的にするために、スピアフィッシングを使用することがよくあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

ネットワーク内部に侵入すると、Akiraは既知の脆弱性を悪用したり、正規の管理ツールを使用して上位レベルのアクセス権を獲得するなど、さまざまな手法で特権を拡大する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

検知を回避するため、Akiraはセキュリティソフトを無効にしたり、難読化を使ったり、ログを削除したりして痕跡を消すなど、高度な回避テクニックを駆使している。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Akiraは、キーロギング、クレデンシャルダンプ、感染したシステムからパスワードを採取するMimikatzのようなツールを使ってクレデンシャルを収集する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

このグループは、ネットワークをマッピングし、重要な資産を特定し、組織の構造を理解するために徹底的な偵察を行う。そのためにPowerShellやカスタムスクリプトなどのツールを使用する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

Akiraは、漏洩した認証情報を使用してネットワーク上を横方向に移動し、信頼関係を悪用し、RDPやSMBなどのツールを使用して伝播する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

データ収集では、機密情報、知的財産、個人データを収集し、それを恐喝目的で流出させる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ランサムウェアのペイロードが実行され、被害者のシステム上のファイルが暗号化されます。Akira は強固な暗号化アルゴリズムを使用し、復号化キーなしではファイルを復元できないようにします。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

Akiraは、暗号化する前に、暗号化された通信チャネルを利用して機密データを管理下の外部サーバーに流出させ、検知を回避する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

インパクト・フェーズでは、暗号化が完了し、身代金要求書が手渡される。身代金要求書は、復号化キーと引き換えに支払いを要求し、流出したデータの削除を約束する。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Akira は通常、フィッシングメール、公開アプリケーションの脆弱性の悪用、または侵害された認証情報の活用を通じて最初のアクセスを取得します。組織内の特定の個人を標的にするために、スピアフィッシングを使用することがよくあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

ネットワーク内部に侵入すると、Akiraは既知の脆弱性を悪用したり、正規の管理ツールを使用して上位レベルのアクセス権を獲得するなど、さまざまな手法で特権を拡大する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

検知を回避するため、Akiraはセキュリティソフトを無効にしたり、難読化を使ったり、ログを削除したりして痕跡を消すなど、高度な回避テクニックを駆使している。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Akiraは、キーロギング、クレデンシャルダンプ、感染したシステムからパスワードを採取するMimikatzのようなツールを使ってクレデンシャルを収集する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

このグループは、ネットワークをマッピングし、重要な資産を特定し、組織の構造を理解するために徹底的な偵察を行う。そのためにPowerShellやカスタムスクリプトなどのツールを使用する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

Akiraは、漏洩した認証情報を使用してネットワーク上を横方向に移動し、信頼関係を悪用し、RDPやSMBなどのツールを使用して伝播する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

データ収集では、機密情報、知的財産、個人データを収集し、それを恐喝目的で流出させる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

ランサムウェアのペイロードが実行され、被害者のシステム上のファイルが暗号化されます。Akira は強固な暗号化アルゴリズムを使用し、復号化キーなしではファイルを復元できないようにします。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

Akiraは、暗号化する前に、暗号化された通信チャネルを利用して機密データを管理下の外部サーバーに流出させ、検知を回避する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

インパクト・フェーズでは、暗号化が完了し、身代金要求書が手渡される。身代金要求書は、復号化キーと引き換えに支払いを要求し、流出したデータの削除を約束する。

MITRE ATT&CK マッピング

アキラが使用したTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1136
Create Account
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
T1219
Remote Access Software
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
プラットフォーム検出

How to検知 Akira withVectra AI

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

Azure AD Privilege Operation Anomaly

External Remote Access

Privilege Anomaly: Unusual Host

RDP Recon

Ransomware File Activity

Suspicious Port Scan

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

Akira ランサムウェアとは?

Akira ランサムウェアは、サイバー犯罪者がファイルを暗号化し、身代金の支払いを被害者に強要するために使用する洗練されたmalware です。

アキラはどうやってネットワークにアクセスするのか?

Akiraは、フィッシング、脆弱性を悪用し、侵害された認証情報を使用して最初のアクセスを取得します。

アキラがターゲットにしている業界は?

アキラは、ヘルスケア、金融サービス、教育、製造業など幅広い業界を対象としている。

アキラはどのようなテクニックを使って発見を逃れているのか?

Akiraは、セキュリティソフトの無効化、難読化、ログ削除などのテクニックを使って検知を回避する。

Akiraはネットワーク内でどのように特権をエスカレートさせるのか?

Akiraは既知の脆弱性を悪用し、正当な管理ツールを使ってより高度なアクセス権を獲得する。

Akiraはどのようなデータを流出させるのか?

Akiraは、ファイルを暗号化する前に、機密情報、知的財産、個人データを流出させます。

Akiraはどのようにファイルを暗号化するのですか?

Akiraは堅牢な暗号化アルゴリズムを使用し、復号化キーなしではファイルを復元できないようにしています。

Akira ランサムウェア攻撃の影響は?

その影響には、データの暗号化、サービスの中断、身代金の支払いや復旧作業による金銭的損失などが含まれる。

Akiraランサムウェアを検出して阻止することは可能か?

検出と防止には、拡張検知およびレスポンス (XDR)ソリューション、定期的なソフトウェア更新、従業員トレーニングなどの強固なセキュリティ対策が必要です。

Akiraランサムウェアに感染した場合、組織は何をすべきか?

組織は、影響を受けたシステムを切断し、インシデントを当局に報告し、被害を軽減し、データを回復するためにサイバーセキュリティの専門家の支援を求めるべきである。

貴社はAkiraランサムウェア攻撃に対して安全ですか?

攻撃の危険性を評価する