SonicWall SonicOS の脆弱性 CVE-2024-40766：Akira による悪用を確認 – Cisco Talos

Akira Ransomware Exploit CVE-2024-40766 in SonicWall SonicOS

2024/10/21 SecurityOnline — Akira ランサムウェア・グループは、サイバー攻撃における手口を改良し続け、最も影響力の大きな脅威としての地位を築いている。Cisco Talos の最近のレポートによると、Akira の成長の要因は、絶え間ない進化と戦術的なシフトにあるあるという。Akira は、従来のランサムウェア技術の枠を超えて、サイバー犯罪の分野で強力な勢力を維持している。

Cisco Talos が 10月21日に公開したレポート “Akira ransomware continues to evolve” は、Windows／Linux を標的とする Akira の新たな手法を取り上げている。研究者たちは、「いまの脅威の状況において、最も蔓延しているランサムウェアのひとつとしての地位を、Akira は固めている」と述べている。Akira は、迅速な対応力を示しており、ランサムウェア暗号化ツールの新しいバージョンを、2024年を通して展開してきた。今年の初めには、C++ から Rust へと、プログラミング技術を効率的なものに置き換え、ESXi 暗号化ツールの亜種を開発している。

この進化は、Akiraの技術的アプローチにおける重要な転換点であり、暗号化と情報窃取の戦略において、大幅なアップデートを加えるものとなっている。新しい暗号化ツールは、特に Rust ベースの亜種は、Akira の安定性と効率性を追求する姿勢を浮き彫りにし、そのアフィリエイト活動への適応性を強調している。しかし、最近になって Cisco Talos が観測したのは、データの窃取および恐喝の戦術と暗号化の手法が、以前のものへ回帰しているという状況である。

Akira のアフィリエイトたちは、既知／新規の CVE に対して迅速に適応することで、侵害さした環境内でのイニシャル・アクセスと特権昇格を実現している。最近では、SonicWall SonicOS の脆弱性 CVE-2024-40766 を悪用する、Akira ランサムウェアのアフィリエイトが、脆弱なネットワーク・アプライアンスを標的にしている。この脆弱性の悪用に成功した攻撃者は、影響を受けるデバイス上でリモート・コード実行を可能にする。さらに、Akira のアフィリエイトたちは、Cisco Adaptive Security Appliances 脆弱性 CVE-2020-3259 や、FortiClientEMS の脆弱性 CVE-2023-48788 なども悪用している。

これらの脆弱性悪用により、Akira の二重恐喝モデルにおける重要なプロセスである、ランサムウェアの迅速な展開と、被害者データの外部流出を可能にしている。この手法は、被害者のファイルを暗号化するだけでなく、身代金の要求に応じなければ機密データを流出させるという脅迫のセットであり、Akira は被害者に対して、大きな揺さぶりをかける状況を作り出している。

Cisco Talos のレポートによると、Rust ベースの Akira v2 亜種から、C++ で書かれた以前の Akira へと、Windows／Linux 用の暗号化ツールが回帰している可能性があるという。この戦術の転換が示唆するのは、運用上の安定性を維持するために、時間をかけて検証された技術に再び焦点を当てるという展開である。この、ランサムウェアは、複数の OS を標的にし続ける一方で、ベースとなる技術を見直しているのだ。

進化する Akira の暗号化手法として、新しい亜種には ChaCha8 ストリーム暗号の活用が取り込まれ、ランサムウェア攻撃時の効率性とスピードを優先している。この迅速な暗号化とデータ抽出の作業により、最近の製造業や技術サービス業への攻撃で実証されているように、Akira は短い時間の中で、被害を最大限に広げている。

Cisco Talos のレポートが訴えるのは、影響の大きい脆弱性を悪用するキャンペーンを、Akira が継続していく可能性が高く、特に VMware ESXi や Linux サーバなどの企業環境が標的にされるという警告である。これらのプラットフォームには、重要インフラや高価値データをホストする環境が多く、最小限の横方向の動きで広範囲に及ぶ混乱を引き起こそうとする、ランサムウェアのオペレーターにとって魅力的な標的である。

Cisco Talos は、「今後においても、Akira は TTPs (tactics, techniques, and procedures) を洗練させ、新たな攻撃チェーンを開発し、脅威の状況の変化に適応し、RaaS の運用で高効率を追求していくと予想する」と結論づけている。

SonicWall SonicOS の脆弱性 CVE-2024-40766 と、Akira による悪用に関しては、2024/09/08 の「SonicWall SonicOS の脆弱性 CVE-2024-40766：Akira ランサムウェアによる悪用を確認」でもお伝えしていましたが、Cisco Talos も追跡していたようです。ご利用のチームは、十分に ご注意ください。よろしければ、Akira で検索も、ご参照ください。