Microsoft Defender Thwarted Akira Ransomware Attack On An Industrial Engineering Firm
2023/10/16 SecurityAffairs — Microsoft の Defender for Endpoint が、Akira ランサムウェア・オペレーション (Storm-1567) による大規模なハッキング・キャンペーンの阻止に貢献したようだ。Microsoft によると、この攻撃は 2023年6月上旬に発生した、インダストリー組織を狙うものとのことだ。同社のサイバー防衛ソリューションは、他の機能を展開することなく、ランサムウェアのような人手による攻撃を自動的に防止できるとされる。
2023年3月から活動を開始した Akira ランサムウェアのオペレーターは、教育/金融/不動産など複数の組織をハッキングしたと主張している。他のランサムウェア・ギャングと同様に、このグループも VMware ESXi サーバを標的とする、Linux 暗号化ツールを開発している。
Microsoft が公開した分析レポートには、「この攻撃の大半のステップで、Microsoft Defender for Endpoint にオンボードされていないデバイスが悪用された。それは、他の攻撃でも確認されている防御回避の戦術である。しかし、当社のエンドポイント・ソリューションの可視性があれば、攻撃チェーンの早い段階で攻撃のブロックだ可能であるため、ユーザー組織のデバイスを素早く保護できた可能性がある。つまり、Defender for Endpoint はランサムウェア攻撃の各ステップを阻止し、ユーザー組織内のすべてのオンボード・デバイスを、暗号化から救ったことになる」と記されている。
この脅威アクターは、Microsoft Defender for Endpoint にオンボードされていないデバイスを悪用し、偵察や横移動活動を行いながら、検知を回避していたという。
しかし、エンドポイントやネットワーク内のリソースにアクセスするために、侵害されたアカウントが悪用されるのは、Microsoft Defender の機能により阻止できたという。また、対象アカウントの Active Directory の状態や特権レベルには関係なく、攻撃者による横方向の動きを、適切な防御策により制限できたともいう。
Microsoft のレポートは、「したがって、侵害されたユーザー・アカウントを特定して封じ込められるなら、たとえ攻撃者がイニシャル・アクセスを取得したとしても、攻撃の進行を防ぐことが可能だ。今日の発表にあるように、Microsoft Defender for Endpoint の自動的な攻撃中断機能には、ユーザーの封じ込め機能が追加されている。このメカニズムは、人間が操作する攻撃を、途中で阻止するための、独自の革新的な防御メカニズムである」と締め括っている。
Defender と Akira の対決ですが、まずは Defender が一本というところなのでしょう。とにかく、嬉しいニュースです。どちらかと言うと、正体が掴めていない Akira ですが、その動きは俊敏で、多くの被害者を生み出しているようです。よろしければ、Akira で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.