米国政府機関は、AkiraランサムウェアがNutanix AHV仮想マシンを暗号化する攻撃が確認されたと警告している。
CISA、FBI、国防総省サイバー犯罪センター(DC3)、保健福祉省(HHS)、および複数の国際的なパートナーによる最新の共同勧告は、AkiraランサムウェアがNutanix AHV VMディスクファイルの暗号化機能を拡張していることを警告している。
この勧告には、FBIの調査やサードパーティの報告を通じて観察された、2025年11月時点での新たな侵害の指標や手口が含まれています。
攻撃におけるNutanix VMの暗号化
この勧告では、2025年6月にAkiraのアクターがNutanix AHV仮想マシンのディスクファイルを暗号化し始めたと警告しています。
「2025年6月のインシデントにおいて、Akiraの脅威者は初めてNutanix AHV VMのディスクファイルを暗号化し、SonicWallの脆弱性であるCommon Vulnerabilities and Exposures (CVE)-2024-40766 [Common Weakness Enumeration (CWE)-284: Improper Access Control]を悪用することで、VMware ESXiやHyper-Vを超える機能を拡張しました。
NutanixのAHVプラットフォームはLinuxベースの仮想化ソリューションで、Nutanixのインフラ上で仮想マシンを実行および管理します。
AHVは広く導入されているため、ランサムウェアのギャングがVMware ESXiやHyper-Vと同様に、このプラットフォーム上の仮想マシンを標的にし始めることは驚くことではない。
CISAは、AkiraがどのようにNutanix AHV環境を標的にしているかは明らかにしていないが、Akira Linuxの暗号化プログラムは、Nutanix AHVで使用されている仮想ディスクフォーマットである.qcow2拡張子のファイルを暗号化しようとしていると分析している。
しかし、.qcow2ファイル拡張子は、少なくとも2024年末以降、Akira Linuxの暗号化プログラムの標的になっています。
さらに、AkiraがNutanixのVMに焦点を当てていることも、VMware ESXiをターゲットにしていることほど発展していない。
Linux暗号化ツールは、ディスクを暗号化する前にESXi仮想マシンを優雅にシャットダウンするためにesxcliと vim-cmdを使用するが、Nutanix AHVについては、単に.qcow2ファイルを直接暗号化し、AHV VMをパワーダウンするためにプラットフォームのacliまたはncliコマンドを使用しない。
その他の更新
更新されたアドバイザリには、Akiraの侵入手法と侵害後の手口に関する新しい情報も含まれています。
企業ネットワークに侵入するために、Akiraの関連会社は、一般的に、露出したルータ上で盗んだ、またはブルートフォースされたVPNおよびSSH認証情報を使用し、露出したファイアウォールでSonicWallの脆弱性(CVE-2024-40766)を悪用します。
アクセスすると、パッチの適用されていないVeeam Backup & Replicationサーバの脆弱性(CVE-2023-27532またはCVE-2024-40711)を悪用して、バックアップにアクセスし、バックアップを削除します。
ネットワーク内では、Akiraのメンバーがnltest、AnyDesk、LogMeIn、Impacketのwmiexec.py、VBスクリプトなどのユーティリティを使用して偵察を行い、他のシステムに拡散し、永続性を確立することが確認されています。脅威者はまた、一般的にエンドポイント検出ツールを削除し、永続化のために新しい管理者アカウントを作成します。
あるインシデントでは、攻撃者はドメイン・コントローラのVMをパワーダウンさせ、そのVMDKファイルをコピーして新しいVMにアタッチし、NTDS.ditファイルとSYSTEMハイブを抽出してドメイン管理者アカウントを取得しました。
この勧告では、以前Akiraの操作に関連していた “Megazord “ツールは、2024年以降放置されているようだと指摘している。
Akiraは、いくつかの攻撃において、わずか2時間でデータを流出しており、コマンド・アンド・コントロールのために、Ngrokのようなトンネリングツールに依存して、境界の監視をバイパスする暗号化されたチャネルを確立している。
この勧告は、組織に対し、更新されたガイダンスを確認し、推奨される緩和策を実施するよう促している。
また、CISAとFBIは、定期的なオフライン・バックアップ、多要素認証の導入、悪用された既知の脆弱性に対する迅速なパッチ適用も引き続き推奨している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
秘密 セキュリティ・チートシート:スプロールからコントロールへ
古いキーのクリーンアップでも、AIが生成するコードのガードレールの設定でも、このガイドはチームが最初からセキュアに構築するのに役立ちます。
チートシートを入手して、秘密管理の手間を省きましょう。
Comments