Akira は比較的新しく登場したランサムウェア攻撃者であり、2023年3月から活動している。他のランサムウェア攻撃者と同じく組織に侵入したあとファイルを暗号化するだけでなく、機密情報を窃取して交渉に使用する。実際に以下のような2024年の統計でも、Akira ランサムウェアによる被害企業の数が上位を占めている。
攻撃者はランサムウェアを通じて組織のシステムを暗号化したあと、交渉のための Tor Web サイトを案内するが、要求事項が満たされない場合、攻撃の過程で窃取した機密情報を公開することもある。実際に攻撃者が運営する Tor Web サイトでも、被害企業が公開され続けている。
初期侵入方式としては、マルチファクター認証(MFA)が適用されていない VPN アカウントを悪用するか、様々な脆弱性を突いた攻撃を行うものと知られている。代表的なものに、Fortinet 社の CVE-2019-6693 および CVE-2022-40684 脆弱性や、CVE-2023-48788、そして Cisco 社の CVE-2020-3259 および CVE-2023-20269 脆弱性がある。また、SonicWall 製品の CVE-2024-40766 脆弱性を利用した攻撃も行われた。Akira ランサムウェア攻撃者は、このほかにも攻撃の過程で権限昇格を目的として Veeam Backup & Replication サーバーの CVE-2024-40711 脆弱性や VMware ESXi の CVE-2024-37085 脆弱性を悪用することもあった。
ここでは、Akira ランサムウェア攻撃者の既知の攻撃手法を紹介し、[1] [2] [3] [4](外部サイト、英語にて提供) 初期侵入後に組織を掌握していく過程で確認される攻撃手法に対し、AhnLab EDR を活用して検知する方法を紹介する。
AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域で強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。
1. Discovery
攻撃者はポートスキャニングを通じて、特定のネットワーク、すなわち攻撃対象のドメインで現在有効になっているシステムおよびポート番号、すなわち動作中のサービスの情報を取得することができる。このようなネットワーク探索の過程を通じて、サブネット情報、ホスト情報など、ネットワーク構造を確認する。Akira ランサムウェア攻撃者は、ネットワーク情報を収集する過程で Advanced IP Scanner や NetScan ツールを活用していると知られている。
その後、ドメインコントローラーやドメインの信頼関係など、現在のネットワーク上のアクティブディレクトリ(Active Directory)情報を収集する。攻撃者は、Windows の基本ツールである Nltest を活用する、または代表的なツールである AdFind をインストールすることもある。攻撃者は、AdFind の結果を利用してドメイン環境の構造を把握し、ラテラルムーブメントのための攻撃対象を識別できる。
最後に、BloodHound も使用されていることが知られているが、BloodHound は、アクティブディレクトリのドメイン関連情報を収集し、権限昇格のための攻撃経路を見つける機能を提供するツールである。GUI ベースでモデリングした結果を表示するが、攻撃者がドメイン内でドメイン管理者権限を得るための最短ルートをグラフ形式で視覚化して表示する。
2. Credential Access
組織のインフラがアクティブディレクトリを使用する環境の場合、攻撃者は上記の Discovery 過程を経てドメイン環境の情報を収集し、資格情報を窃取したあと、これをもとにラテラルムーブメントを実行して最終的にドメイン環境を掌握できる。
Akira ランサムウェア攻撃者は、このために Mimikatz を使用したり、Comsvc.dll を悪用することで知られている。Mimikatz は Windows OS 環境で資格情報を取得する機能を持つプログラムであり、LSASS プロセスのメモリに保存されている NT Hash(NTLM 認証プロトコルで使用するハッシュ)を取得する方式に対応している。
しかし、このようなメモリダンプ振る舞いはセキュリティ製品によって疑わしい振る舞いと見なされ、Mimikatz のような疑わしいツールはセキュリティ製品の主要な検知対象となっている。これを回避するためには、Comsvc.dll を悪用する方法があり、Windows 環境でデフォルトでインストールされている Comsvc.dll の MiniDump 関数を悪用して、LSASS プロセスのメモリダンプを生成する機能を悪用するものである。
この他にも、オープンソースハッキングツールである LaZagne を悪用することもあるが、LaZagne はシステムに保存されている資格情報を取得するツールである。代表的に、ユーザーの資格情報が保存されている SAM(Security Accounts Manager)データベースをダンプしてラテラルムーブメント攻撃において活用するものがある。そして、AD サーバーでは「ntdsutil.exe」ツールを利用して Active Directory 環境のユーザーアカウント、グループ、ポリシーなどの重要な情報を含んでいる NTDS.dit ファイルをダンプすることもある。
OS に保存されている資格情報以外にも、Web ブラウザに保存されたユーザーの資格情報も窃取対象である。攻撃者は、このために NirSoft 社の WebBrowserPassView ツールを使用する、または「esentutl.exe」を悪用して Chrome Web ブラウザの資格情報が含まれたデータファイルをコピーする場合もある。
3. Command and Control
感染システムを制御する段階では、主に AnyDesk、RustDesk、Radmin のような遠隔操作ツールをインストールする。これらの遠隔操作ツールは、遠隔操作および管理のための正常な目的で使用されることが多く、そのため AntiVirus 製品ではこれを単純に検知、遮断することに限界がある。AhnLab EDR は、ユーザーが遠隔操作のために正常な目的で遠隔操作ツールを使用する振る舞いについても関連情報を収集して表示することにより、管理者が疑わしい振る舞いを認知して対処できるようにする。
攻撃者は直接 C&C サーバーと通信することもあるが、プロキシツールをインストールすることもある。これは、感染システムがプライベートネットワーク、つまり NAT 環境内に存在する場合、外部からのアクセスができないため、このようなシステムを外部に公開させる目的で主に使用される。Akira ランサムウェア攻撃者も、Ngrok や Cloudflare のトンネリングツール(Cloudflare Tunnel)を攻撃に使用したことが知られている。
4. Persistence / Defense Evasion
Akira ランサムウェア攻撃者は、新規アカウントを追加したあと、当該アカウントで感染システムを操作する方法で持続性を維持する。しかし、アカウントが追加されると、ログオン時に追加されたアカウントが表示されるため、システムのユーザーがこれを認知することができる。これを防止するため、攻撃者は作成したアカウントを SpecialAccounts に登録し、ログオン時にも表示されないようにする。
5. Lateral Movement
攻撃者は Credential Access 段階で収集した資格情報を活用してラテラルムーブメントを行い、組織の閉域網を掌握することができる。Akira ランサムウェア攻撃者は、ラテラルムーブメント、すなわち窃取した資格情報を利用して別のシステムの操作権限を獲得する過程で RDP を悪用したり、PsExec、Impacket の wmiexec ツールを使用してコマンドを実行する。
6. Collection / Exfiltration
Akira ランサムウェア攻撃者は、他のランサムウェア攻撃者と同様に、組織のシステムを暗号化するだけでなく、その前に情報を窃取して、脅迫に利用する。攻撃者は、制御を奪取したシステムから組織の機密情報を収集し、圧縮した後にこれを窃取する。
ファイルやフォルダーを圧縮するツールは多いが、Akira ランサムウェア攻撃者は主に WinRAR を利用すると知られている。圧縮ファイルはその後 FTP プロトコル、またはクラウドストレージサービスを通じて窃取された。FTP プロトコルの場合、WinSCP および FileZilla が使用され、クラウドストレージサービスである Mega を悪用したり、Rclone ツールを使用したりすることもあった。
Rclone は様々なクラウドストレージサービスに対し、ファイル転送機能をサポートするプログラムである。サポートする OS も Windows、Linux、Mac 等、ほとんどの OS であり、サポートするクラウドサービスも Dropbox、Google Drive、Microsoft OneDrive、MEGA クラウド等、大半をサポートしていることが特徴である。
7. Impact
Akira ランサムウェアは、ユーザーのファイルを暗号化した後に「.akira」拡張子を付け加え、「akira_readme.txt」という名前のランサムノートを生成する。ランサムノートには Onion のアドレスとともに、チャットログインに使用する被害者のコードが含まれていることが特徴である。
8. 結論
Akira ランサムウェア攻撃者は2023年3月から、この記事執筆時点の2025年1月にも活発に活動を続けている。既知の脆弱性を攻撃したり、窃取したアカウントを悪用して組織に侵入した後、閉域網を掌握しながら機密情報を収集し、最終的に掌握したシステムを暗号化した後、交渉に使用して収益を得ている。
AhnLab EDR は、外部に知られている Akira ランサムウェア攻撃者の攻撃手法に対して、各段階ごとに脅威を検知し、管理者が原因を把握して適切な対応および再発防止プロセスを確立できるようにサポートする。また、組織内で疑わしいツールがインストールまたは実行される振る舞いに関する情報を主要な振る舞いとして収集し、表示することで、管理者が疑わしい振る舞いを認識し、対応できるようにする。
振る舞い検知
– Execution/EDR.SharpHound.M11547
– LateralMovement/EDR.ADFind.M10710
– Infostealer/DETECT.Nltest.M10657
– Execution/EDR.AdvancedScanner.M12194
– Execution/EDR.Behavior.M10482
– CredentialAccess/EDR.Mimikatz.M11444
– CredentialAccess/EDR.Comsvc.M11596
– CredentialAccess/MDP.Dump.M11773
– CredentialAccess/EDR.NTDSUtil.M12395
– Execution/EDR.Event.M10819
– CredentialAccess/EDR.Password.M12276
– Execution/DETECT.AnyDesk.M11495
– Execution/DETECT.RustDesk.M12042
– Execution/DETECT.Radmin.M12410
– Execution/EDR.Ngrok.11445
– Execution/EDR.Proxy.M12411
– Suspicious/DETECT.MT1136.M2445
– Persistence/EDR.HideAccount.M11388
– LateralMovement/EDR.PSExec.M10481
– LateralMovement/EDR.Impacket.M12414
– Infostealer/DETECT.WinRAR.M12364
– Execution/DETECT.WinSCP.M11619
– Execution/DETECT.FileZilla.M11618
– Infostealer/EDR.Rclone.M11475
– Ransom/EDR.Decoy.M2470
| Tactic | Technique |
| Discovery (TA0007) | Remote System Discovery (T1018) System Owner/User Discovery (T1033) Network Service Discovery (T1046) Permission Groups Discovery: Local Groups (T1069.001) Permission Groups Discovery: Domain Groups (T1069.002) Account Discovery: Local Account (T1087.002) Account Discovery: Domain Account (T1087.002) Domain Trust Discovery (T1482) Group Policy Discovery (T1615) |
| Credential Access (TA0006) | OS Credential Dumping: LSASS Memory (T1003.001) OS Credential Dumping: Security Account Manager (T1003.002) OS Credential Dumping: NTDS (T1003.003) Credentials from Password Stores: Credentials from Web Browsers (1555.003) |
| Command and Control (TA0011) | Remote Access Software (T1219) Proxy (T1090) Protocol Tunneling (T1572) |
| Persistence (TA0003) | Create Account (T1136) |
| Defense Evasion (TA0005) | Hide Artifacts: Hidden Users (T1564.002) |
| Lateral Movement (TA0008) | Lateral Tool Transfer (T1570) Remote Services: SMB/Windows Admin Shares (T1021.002) |
| Collection (TA0009) | Archive Collected Data: Archive via Utility (T1560.001) |
| Exfiltration (TA0010) | Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol (T1048.003) Exfiltration Over Web Service: Exfiltration to Cloud Storage (T1567.002) |
| Impact (TA0040) | Financial Theft (T1657) Data Encrypted for Impact (T1486) |
MITRE ATT&CK マッピング情報
Categories: EndPoint