あなたの組織はAkiraランサムウェア攻撃から安全ですか？

Akira ランサムウェアの起源

2023年に初めて確認されたAkiraランサムウェアグループは、世界中の様々な業界を標的とした高度なランサムウェア攻撃で知られています。このグループは、Ransomware-as-a-Service（RaaS）モデルの下で活動し、身代金の支払いの分け前と引き換えにアフィリエイトがランサムウェアを使用できるようにしている。Akiraの出自は依然として不明だが、その活動は高度な技術的専門知識と組織性を示唆している。

^{地図製作：}^OCD

ターゲット

Akira ランサムウェアの標的

アキラの対象国

Akiraは、北米、ヨーロッパ、アジアで攻撃を確認し、世界的な広がりを見せている。その無差別的な標的パターンは、地理的な場所に関係なく脆弱なシステムを悪用することに重点を置いていることを示唆している。

^{画像ソース}^SOCradar

アキラの対象産業

Akiraランサムウェアは、ヘルスケア、金融サービス、教育、製造業など幅広い業界を標的としている。その攻撃は、重要なサービスや業務を妨害し、被害を受けた組織に多大な財務的・風評的損害を与えています。

^{スクリーンショットの出典}^サイブル

アキラの対象産業

Akiraランサムウェアは、ヘルスケア、金融サービス、教育、製造業など幅広い業界を標的としている。その攻撃は、重要なサービスや業務を妨害し、被害を受けた組織に多大な財務的・風評的損害を与えています。

^{スクリーンショットの出典}^サイブル

アキラの犠牲者

282人以上の被害者がAkiraに狙われている。主な被害者には、大手医療機関、一流大学、著名な金融会社などが含まれる。これらの攻撃は多くの場合、機密データの流出につながり、そのデータは被害者に身代金の支払いを迫るために使用される。

^ソース^{ランサムウェア・ライブ}

攻撃方法

アキラの攻撃方法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Akira は通常、フィッシングメール、公開アプリケーションの脆弱性の悪用、または侵害された認証情報の活用を通じて最初のアクセスを取得します。組織内の特定の個人を標的にするために、スピアフィッシングを使用することがよくあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

ネットワーク内部に侵入すると、Akiraは既知の脆弱性を悪用したり、正規の管理ツールを使用して上位レベルのアクセス権を獲得するなど、さまざまな手法で特権を拡大する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

検知を回避するため、Akiraはセキュリティソフトを無効にしたり、難読化を使ったり、ログを削除したりして痕跡を消すなど、高度な回避テクニックを駆使している。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Akiraは、キーロギング、クレデンシャルダンプ、感染したシステムからパスワードを採取するMimikatzのようなツールを使ってクレデンシャルを収集する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

このグループは、ネットワークをマッピングし、重要な資産を特定し、組織の構造を理解するために徹底的な偵察を行う。そのためにPowerShellやカスタムスクリプトなどのツールを使用する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

Akiraは、漏洩した認証情報を使用してネットワーク上を横方向に移動し、信頼関係を悪用し、RDPやSMBなどのツールを使用して伝播する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

データ収集では、機密情報、知的財産、個人データを収集し、それを恐喝目的で流出させる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ランサムウェアのペイロードが実行され、被害者のシステム上のファイルが暗号化されます。Akira は強固な暗号化アルゴリズムを使用し、復号化キーなしではファイルを復元できないようにします。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

Akiraは、暗号化する前に、暗号化された通信チャネルを利用して機密データを管理下の外部サーバーに流出させ、検知を回避する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

インパクト・フェーズでは、暗号化が完了し、身代金要求書が手渡される。身代金要求書は、復号化キーと引き換えに支払いを要求し、流出したデータの削除を約束する。

初期アクセス

Akira は通常、フィッシングメール、公開アプリケーションの脆弱性の悪用、または侵害された認証情報の活用を通じて最初のアクセスを取得します。組織内の特定の個人を標的にするために、スピアフィッシングを使用することがよくあります。

特権エスカレーション

ネットワーク内部に侵入すると、Akiraは既知の脆弱性を悪用したり、正規の管理ツールを使用して上位レベルのアクセス権を獲得するなど、さまざまな手法で特権を拡大する。

防御回避

検知を回避するため、Akiraはセキュリティソフトを無効にしたり、難読化を使ったり、ログを削除したりして痕跡を消すなど、高度な回避テクニックを駆使している。

クレデンシャル・アクセス

Akiraは、キーロギング、クレデンシャルダンプ、感染したシステムからパスワードを採取するMimikatzのようなツールを使ってクレデンシャルを収集する。

ディスカバリー

このグループは、ネットワークをマッピングし、重要な資産を特定し、組織の構造を理解するために徹底的な偵察を行う。そのためにPowerShellやカスタムスクリプトなどのツールを使用する。

横の動き

Akiraは、漏洩した認証情報を使用してネットワーク上を横方向に移動し、信頼関係を悪用し、RDPやSMBなどのツールを使用して伝播する。

コレクション

データ収集では、機密情報、知的財産、個人データを収集し、それを恐喝目的で流出させる。

実行

ランサムウェアのペイロードが実行され、被害者のシステム上のファイルが暗号化されます。Akira は強固な暗号化アルゴリズムを使用し、復号化キーなしではファイルを復元できないようにします。

データ流出

Akiraは、暗号化する前に、暗号化された通信チャネルを利用して機密データを管理下の外部サーバーに流出させ、検知を回避する。

インパクト

インパクト・フェーズでは、暗号化が完了し、身代金要求書が手渡される。身代金要求書は、復号化キーと引き換えに支払いを要求し、流出したデータの削除を約束する。

MITRE ATT&CK マッピング

アキラが使用したTTP

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

No items found.

TA0003: Persistence

T1136

Create Account

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1482

Domain Trust Discovery

T1082

System Information Discovery

T1069

Permission Groups Discovery

T1057

Process Discovery

T1016

System Network Configuration Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

T1560

Archive Collected Data

TA0011: Command and Control

T1219

Remote Access Software

T1090

Proxy

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1537

Transfer Data to Cloud Account

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1490

Inhibit System Recovery

T1657

Financial Theft

T1486

Data Encrypted for Impact

プラットフォーム検出

How to検知 Akira withVectra AI

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

よくあるご質問(FAQ)

Akira ランサムウェアとは？

Akira ランサムウェアは、サイバー犯罪者がファイルを暗号化し、身代金の支払いを被害者に強要するために使用する洗練されたmalware です。

アキラはどうやってネットワークにアクセスするのか？

Akiraは、フィッシング、脆弱性を悪用し、侵害された認証情報を使用して最初のアクセスを取得します。

アキラがターゲットにしている業界は？

アキラは、ヘルスケア、金融サービス、教育、製造業など幅広い業界を対象としている。

アキラはどのようなテクニックを使って発見を逃れているのか？

Akiraは、セキュリティソフトの無効化、難読化、ログ削除などのテクニックを使って検知を回避する。

Akiraはネットワーク内でどのように特権をエスカレートさせるのか？

Akiraは既知の脆弱性を悪用し、正当な管理ツールを使ってより高度なアクセス権を獲得する。

Akiraはどのようなデータを流出させるのか？

Akiraは、ファイルを暗号化する前に、機密情報、知的財産、個人データを流出させます。

Akiraはどのようにファイルを暗号化するのですか？

Akiraは堅牢な暗号化アルゴリズムを使用し、復号化キーなしではファイルを復元できないようにしています。

Akira ランサムウェア攻撃の影響は？

その影響には、データの暗号化、サービスの中断、身代金の支払いや復旧作業による金銭的損失などが含まれる。

Akiraランサムウェアを検出して阻止することは可能か？

検出と防止には、拡張検出およびレスポンス（XDR）ソリューション、定期的なソフトウェア更新、従業員トレーニングなどの強固なセキュリティ対策が必要です。

Akiraランサムウェアに感染した場合、組織は何をすべきか？

組織は、影響を受けたシステムを切断し、インシデントを当局に報告し、被害を軽減し、データを回復するためにサイバーセキュリティの専門家の支援を求めるべきである。