Akiraランサムウェア、CiscoのVPNアカウントを悪用し企業ネットワークを侵害
Akiraランサムウェアが、Cisco製品のVPNアカウントを企業ネットワークへの侵入ベクターとして利用しているとの報道。これにより、バックドアを追加で投下したり、アクセスを保持するためのメカニズムを用意したりする必要がなくなり、正体を暴かれる危険性が低下するのだという。なお、Akiraがブルートフォースによりアカウント情報を悪用しているのか、または漏洩済みのアカウントをダークウェブマーケットで購入してそれを利用しているのかは明らかになっていない。
Akiraランサムウェアとは?
Akiraランサムウェアは2023年3月に活動を開始した、比較的新しいランサムウェアオペレーション。新進ランサムウェアながらその危険性や急成長ぶりは大きな注目を集めており、これまでにリークサイトへ掲載された被害組織は合計80以上観測されている。また当初はWindowsのみを標的としていたが、今年6月にはVMware ESXiに対応したLinux版の存在も報じられていた。
関連記事:
Cisco製VPNアカウントの悪用
AkiraによるVPNアカウントの悪用は今年5月にSophosによって報告されていたものの、より詳しい情報がインシデント対応の専門家である「Aura」により明らかにされたのは8月。Auraは、多要素認証が有効化されていないCisco製品のVPNアカウントの利用を伴うAkiraのインシデントに対応した旨をTwitterで伝えた。
またSentinelOneも同様の攻撃手法に関する非公開レポートをBleepingComputerに共有。これによれば、Akiraの恐喝サイトに掲載されたリークデータの中にCiscoのVPNゲートウェイが使われた形跡が発見されたケースが、少なくとも8件あったという。このことから、VPNアカウントの悪用は今も継続的に使用される攻撃手段であろうことが示唆されている。さらにSentinelOneのレポートからは、CiscoのVPN関連ソフトウェアに存在する未知の脆弱性が認証バイパスのために悪用されている可能性があることも伺えるという。
ランサムウェアとしては初めてRustDeskを悪用か
SentinelOneはまた、Akiraがオープンソースツールである「RustDesk」を利用しているのも観測。このリモートアクセスツールがランサムウェアグループに悪用されるケースは、知られている限りでは初めてだという。
RustDeskは正規ツールであることから、たとえ悪意ある用途で使われたとしてもアラートを発生させにくい上、P2P接続は暗号化され、ネットワークトラフィック監視ツールからフラグを立てられにくい。このため、同ツールを利用することで、Akiraは侵害したPCへ密かにリモートアクセスし、検出されることなくネットワーク上を嗅ぎ回ることができるという。
Cisco製VPNユーザーは多要素認証の有効化を
Auraが以下のツイートで警告しているように、多要素認証を導入せずにCiscoのVPNを利用していると、Akiraの襲撃を受ける恐れがある。このため同製品のユーザーには、多要素認証を有効化しておくことが推奨される。
I'm just gonna go ahead and say it. If you have:
Cisco VPN
No MFA for itYou may get a surprise knock from #Akira #Ransomware soon.
So yeah, go look at your AD auth logs for 4624/4625 from a WIN-* machine in your user VPN range.
If you have a hit, may the IR Gods help you.
— Aura (@SecurityAura) August 5, 2023
なお7月冒頭にはAkiraランサムウェアの無料復号ツールがAvastによってリリースされていたものの、その後Akiraは暗号化ツールの修正を行ったため、このツールは古いバージョンのAkiraにしか使えなくなっているとのこと。
(情報源:BleepingComputer “Akira ransomware targets Cisco VPNs to breach organizations”)
8月23日:その他の注目ニュース
Duolingoユーザー260万人分のデータがハッキングフォーラム上でリリースされる
BleepingComputer – August 22, 2023
スクレイピングによって得られたとされるDuolingoユーザー260万人分のデータが、ハッキングフォーラム上でリリースされた。データには、もともと公開されていたログイン情報や本名に加え、メールアドレスや内部情報などの非公開情報も含まれるという。こうした情報はフィッシング攻撃の実施などの目的で悪用される可能性がある。
今回リリースされたデータは、当初2023年1月に旧Breachedフォーラムで1,500ドルという価格で販売されていたもの。当時DuolingoはThe Record紙の取材に対し、さらなる予防措置を講じるべきか見極めるための調査を実施中であると伝えていた。しかし同社がメールアドレスという非公開情報の流出問題に対処することはなく、一昨日(8月21日)、新生Breachedフォーラムで同データがほぼ無料(正確にはBreached内のクレジット8つと引き換え。2.13ドル相当)で公開されるに至った。
DuolingoのAPIには、ユーザー名を渡すとDuoLingoの有効なアカウントに紐づけられたメールアドレスを入手できるというバグが存在し、脅威アクターはこれを利用して上記データをスクレイピングしたとされる。APIの悪用は1月時点でDuolingoに報告されていたにもかかわらず、BleepingComputerによれば、このAPIは現在でも利用できる状態であることが確認されたという。なお、同社はAPIが今も一般利用可能な状態になっているのはなぜかというBleepingComputerの問いかけに回答しなかったとのこと。