ランサムウェア「Akira」が初期攻撃ベクトルにCiscoのVPN製品を利用して企業のネットワークに侵入している疑いがある。
この記事は会員限定です。会員登録すると全てご覧いただけます。
コンピュータ情報サイトの「Bleeping Computer」は2023年8月22日(現地時間)、ランサムウェア「Akira」が初期攻撃ベクトルにCiscoのVPN製品を利用して企業のネットワークに侵入し、データを窃取し、最終的に暗号化を実行していると報じた。
Akiraは2023年3月から観測されている新型のランサムウェアで、「Linux」や「VMware ESXi」なども標的にしているが、今回、全世界の企業で広く使われているCiscoのVPN製品もこれに加わったようだ。
Bleeping Computerによると、Akiraは追加のバックドアをドロップしたり、バックドアの情報を漏らす可能性のある永続化メカニズムを設定したりすることなく、多要素認証で保護されていない侵害されたCiscoのVPN製品アカウントを使用して企業ネットワークに侵入しているという。
また同サイトは、セキュリティ企業SentinelOneのアナリストによる発言を取り上げ、Akiraがオープンソースソフトウェアのリモートアクセスツール「RustDesk」を使用して侵害したネットワークにアクセスしていることを指摘している。RustDeskは正当なツールであるためセキュリティソフトウェアに検知される可能性は低く、さらにこのツールには脅威アクターにとって都合がよい次のような特徴がある。
脅威アクターは常にサイバー攻撃を改善し続けている。Akiraは活動が観測されてから戦術や技術、手順(TTPs)の改善を続けている活発なランサムウェアであり、今後もその動向に注意するとともに攻撃情報などが出た場合にはその都度確認するなどして対策をアップデートする必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.