Akiraランサムウェア、CiscoのVPNアカウントを悪用し企業ネットワークを侵害 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Akiraランサムウェア、CiscoのVPNアカウントを悪用し企業ネットワークを侵害

Threat Report

Silobreaker-CyberAlert

Akiraランサムウェア、CiscoのVPNアカウントを悪用し企業ネットワークを侵害

山口 Tacos

山口 Tacos

2023.08.23

Akiraランサムウェア、CiscoのVPNアカウントを悪用し企業ネットワークを侵害

Akiraランサムウェアが、Cisco製品のVPNアカウントを企業ネットワークへの侵入ベクターとして利用しているとの報道。これにより、バックドアを追加で投下したり、アクセスを保持するためのメカニズムを用意したりする必要がなくなり、正体を暴かれる危険性が低下するのだという。なお、Akiraがブルートフォースによりアカウント情報を悪用しているのか、または漏洩済みのアカウントをダークウェブマーケットで購入してそれを利用しているのかは明らかになっていない。

Akiraランサムウェアとは?

Akiraランサムウェアは2023年3月に活動を開始した、比較的新しいランサムウェアオペレーション。新進ランサムウェアながらその危険性や急成長ぶりは大きな注目を集めており、これまでにリークサイトへ掲載された被害組織は合計80以上観測されている。また当初はWindowsのみを標的としていたが、今年6月にはVMware ESXiに対応したLinux版の存在も報じられていた。

関連記事:

Akiraランサムウェア:「サイバー版の島鉄雄」が野に放たれる

AkiraランサムウェアのLinux版がVMware ESXiサーバーを標的に

Cisco製VPNアカウントの悪用

AkiraによるVPNアカウントの悪用は今年5月にSophosによって報告されていたものの、より詳しい情報がインシデント対応の専門家である「Aura」により明らかにされたのは8月。Auraは、多要素認証が有効化されていないCisco製品のVPNアカウントの利用を伴うAkiraのインシデントに対応した旨をTwitterで伝えた。

またSentinelOneも同様の攻撃手法に関する非公開レポートをBleepingComputerに共有。これによれば、Akiraの恐喝サイトに掲載されたリークデータの中にCiscoのVPNゲートウェイが使われた形跡が発見されたケースが、少なくとも8件あったという。このことから、VPNアカウントの悪用は今も継続的に使用される攻撃手段であろうことが示唆されている。さらにSentinelOneのレポートからは、CiscoのVPN関連ソフトウェアに存在する未知の脆弱性が認証バイパスのために悪用されている可能性があることも伺えるという。

ランサムウェアとしては初めてRustDeskを悪用か

SentinelOneはまた、Akiraがオープンソースツールである「RustDesk」を利用しているのも観測。このリモートアクセスツールがランサムウェアグループに悪用されるケースは、知られている限りでは初めてだという。

RustDeskは正規ツールであることから、たとえ悪意ある用途で使われたとしてもアラートを発生させにくい上、P2P接続は暗号化され、ネットワークトラフィック監視ツールからフラグを立てられにくい。このため、同ツールを利用することで、Akiraは侵害したPCへ密かにリモートアクセスし、検出されることなくネットワーク上を嗅ぎ回ることができるという。

Cisco製VPNユーザーは多要素認証の有効化を

Auraが以下のツイートで警告しているように、多要素認証を導入せずにCiscoのVPNを利用していると、Akiraの襲撃を受ける恐れがある。このため同製品のユーザーには、多要素認証を有効化しておくことが推奨される。

なお7月冒頭にはAkiraランサムウェアの無料復号ツールがAvastによってリリースされていたものの、その後Akiraは暗号化ツールの修正を行ったため、このツールは古いバージョンのAkiraにしか使えなくなっているとのこと。

関連記事:Avast社、Windows版Akiraランサムウェア用の無料復号ツールをリリース

 

(情報源:BleepingComputer “Akira ransomware targets Cisco VPNs to breach organizations”)

8月23日:その他の注目ニュース

Duolingoユーザー260万人分のデータがハッキングフォーラム上でリリースされる

BleepingComputer – August 22, 2023

スクレイピングによって得られたとされるDuolingoユーザー260万人分のデータが、ハッキングフォーラム上でリリースされた。データには、もともと公開されていたログイン情報や本名に加え、メールアドレスや内部情報などの非公開情報も含まれるという。こうした情報はフィッシング攻撃の実施などの目的で悪用される可能性がある。

今回リリースされたデータは、当初2023年1月に旧Breachedフォーラムで1,500ドルという価格で販売されていたもの。当時DuolingoはThe Record紙の取材に対し、さらなる予防措置を講じるべきか見極めるための調査を実施中であると伝えていた。しかし同社がメールアドレスという非公開情報の流出問題に対処することはなく、一昨日(8月21日)、新生Breachedフォーラムで同データがほぼ無料(正確にはBreached内のクレジット8つと引き換え。2.13ドル相当)で公開されるに至った。

DuolingoのAPIには、ユーザー名を渡すとDuoLingoの有効なアカウントに紐づけられたメールアドレスを入手できるというバグが存在し、脅威アクターはこれを利用して上記データをスクレイピングしたとされる。APIの悪用は1月時点でDuolingoに報告されていたにもかかわらず、BleepingComputerによれば、このAPIは現在でも利用できる状態であることが確認されたという。なお、同社はAPIが今も一般利用可能な状態になっているのはなぜかというBleepingComputerの問いかけに回答しなかったとのこと。

関連記事:DuoLingoのユーザーデータを入手したとハッカーが主張

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ