Akira ランサムウェア：多様な戦術を用いて Linux システムを狙い始めている

Akira Ransomware Mutates to Target Linux Systems, Adds TTPs

2012/09/23 DarkReading — 2023年３月に登場した Akira ランサムウェアは、それ以降において進化を続けている。その、攻撃範囲は当初の Windows システムから Linux サーバへと拡大され、数々の TTP (Tactics／Techniques／Procedures) を採用するようになっている。LogPoint の Akira に関する詳細なレポートでは、被害者のファイルを暗号化し、シャドウコピーを削除し、データ復旧との引き換えに身代金の支払いを要求するという、高度に洗練されたランサムウェアだと解説されている。その感染チェーンは、多要素認証のない Cisco ASA VPN を積極的にターゲットとし、脆弱性 CVE-2023-20269 をエントリポイントとして悪用するものだ。

9月上旬の時点で、このグループは米国と英国の標的を中心に、110件の被害者を生み出すことに成功している。

最近の被害者として目立つのは、英国の品質保証会社 Intertek であることから、Akira の標的には、製造業／専門サービス／自動車関連の組織も組み入れらたことが示唆される。その一方で、最近の GuidePoint Security の GRI レポートによると、Akira の標的は教育機関に偏っており、観測された 36件の被害者のうち 8件を占めているともされる。

このランサムウェア・キャンペーンには複数のマルウェア・サンプルが関与しており、それらが起動されると、シャドウ・コピーの削除／ファイル検索／列挙／暗号化などの各種のステップが実行される。

Akira は、個人データの窃取と暗号化しの後に、被害者から金銭を脅し取るという二重恐喝の手法を用いている。つまり、支払いを拒否すれば、ダークウェブ上でデータを公開すると脅す手口である。

Akira はアクセスに成功すると、RDP (remote desktop apps) である AnyDesk／RustDesk や、暗号アーカイブ・ツールである WinRAR などを使用する。また、高度なシステム情報ツールでありタスク・マネージャーでもある PC Hunter を、wmiexc と共用することで、侵入したシステムを横方向に移動する際の支援が行われるという。

このグループは、Windows Defender によるリアルタイム監視を無効化し、検出を回避することも可能であり、シャドウコピーの削除は PowerShell を介して行われるという。Akira のランサムノート・ファイルは、被害者のシステム全体の複数のファイルにドロップされ、支払いの指示と復号化への誘導が含まれる。

Logpoint のセキュリティ研究者である Anish Bogati によると、Akira は Windows の内部バイナリ (LOLBASとしても知られる) を用いることで、認証情報の取得／防御の回避／横方向の移動の促進／バックアップ・シャドウコピーの削除などを実行しているという。この手口は、Akira の TTP の特徴でもある。

Anish Bogati は、「通常において、Windows の内部バイナリは、エンドポイント・プロテクションにより監視されることはない。それらは、すでにシステム内に存在しているため、敵対者は新たなマルウェアをダウンロードする必要がない。また、暗号化するファイルやフォルダの場所や、暗号化するデータの割合の決定などの、タスクを構成する機能は、手動による介入なしに自動的に行われるため、確実に機能する」と説明している。

対策の実施

Bogati は「複数のマルウェア亜種の存在と、その能力の進化は、この脅威アクターがトレンドに応じて迅速に適応していることを示唆している。また、Windows の内部バイナリ／API／正規ソフトウェアを悪用するという、経験の豊富さと検出回避への精通を示している」と述べている。

彼が推奨するのは、組織が MFA を実装し、アクセス許可を制限することで、認証情報に対するブルートフォース攻撃を防ぐことだ。また、新たに発見された脆弱性の迅速な FIX により、その悪用を試みる敵対者に先行することも重要であるため、ソフトウェアとシステムを最新の状態に保つことも欠かせない。

報告書に含まれる、その他の推奨事項として挙げられるのは、特権アカウントの監査と、定期的なセキュリティ意識向上トレーニングである。また、重要なシステムや機密データを隔離し、侵害のリスクを低減し、攻撃者による横の動きを制限するために、ネットワークのセグメンテーション化も推奨されている。

Bogati によると、不正なトンネリング・ツールやリモート・アクセス・ツールのブロックも、ユーザー組織は検討すべきであるという。具体的には、Cloudflare ZeroTrust／ZeroTier／TailScale などの名前が挙げられている。

新しいランサムウェアの登場

1988年に人気を博した、日本アニメの名作にちなんで命名された Akira は、2023年4月ころから、侮れないサイバー犯罪勢力として認知され、主に Windows システムを攻撃してきた。

Akira による Linux エンタープライズ環境へのシフトは、Cl0p／Royal／IceFireランサムウェア・グループなど、他の確立されたランサムウェアの動きに続くものだ。

Akira は、新しいランサムウェア・アクターの１つである。LockBit のような既存ギャングが活動が減っていく一方で、Akira のような小規模なグループや、新しい戦術を持つグループの出現により、ランサムウェア脅威の状況が活性化している。

新しいランサムウェア・グループとして挙げられるのは、8Base／Malas／Rancoz／BlackSuit などであり、それぞれが独自の特徴やターゲットを持っている。

Bogati は「被害者数を見る限り、最も活発な脅威アクターの１つとして、Akira は認識されていくだろう。このグループは、複数の多機能マルウェア亜種を開発しており、パッチが適用されていないシステムを、悪用する機会を逃さないだろう」と警告している。

Lockbit などの老舗は別にして、2023年に入ってから活発に動き回っているランサムウェアとしては、MOVEit 攻撃を継続している Clop と、この Akira が挙げられるでしょう。文中でも指摘されているように、AnyDesk／RustDesk／WinRAR などを悪用する、LOLBIN 侵害を多用することで、EDR によるによる追跡を回避しているようです。よろしければ、2023/07/20 の「RDP は便利だが RCE が怖い：脅威アクターたちが一点突破を狙う脆弱性とは？」を、ご参照ください。この記事で述べられている懸念が、だんだんと現実化しているように思えます。