Ransomware

新しい Akira ランサムウェア オペレーションは、世界中の企業ネットワークに侵入し、ファイルを暗号化し、100 万ドルの身代金を要求する被害者のリストをゆっくりと作成しています。

2023 年 3 月に開始された Akira は、すでに 16 社に対して攻撃を行っていると主張しています。これらの企業は、教育、金融、不動産、製造、コンサルティングなど、さまざまな業界に属しています。

Akira という別のランサムウェアが2017 年にリリースされましたが、これらの操作が関連しているとは考えられていません。

Akira エンクリプタ

Akira ランサムウェアのサンプルは、 MalwareHunterTeamによって発見され、分析のためにサンプルを共有しました。

実行すると、Akira は次の PowerShell コマンドを実行して、デバイス上の Windows シャドウ ボリューム コピーを削除します。

powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"

その後、ランサムウェアは、次のファイル拡張子を含むファイルの暗号化に進みます。

.accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .db-wal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcx

暗号化中、エンクリプターは、ごみ箱、システム ボリューム情報、Boot、ProgramData、および Windows フォルダーにあるファイルをスキップします。また、.exe、.lnk、.dll、.msi、および .sys ファイル拡張子を持つ Windows システム ファイルの暗号化も回避します。

ファイルを暗号化する場合、ランサムウェアはファイルを暗号化し、 .akira拡張子をファイル名に追加します。

たとえば、1.doc という名前のファイルは暗号化され、以下の暗号化フォルダーに示すように 1.doc.akira に名前が変更されます。

Akira によって暗号化されたファイル
Akira によって暗号化されたファイル
ソース:

また、Akira はWindows Restart Manager API を使用して、ファイルを開いたままにして暗号化を妨げている可能性があるプロセスを閉じたり、Windows サービスをシャットダウンしたりします。

各コンピューター フォルダーには、 akira_readme.txtという名前の身代金メモが含まれます。このメモには、被害者のファイルに何が起こったのかに関する情報と、Akira のデータ漏洩サイトおよび交渉サイトへのリンクが含まれています。

「あなたのデータについては、同意できない場合は、個人情報/企業秘密/データベース/ソースコード – 一般的に言えば、ダークマーケットで価値のあるすべてのもの – を一度に複数の脅威アクターに販売しようとします。その後、すべてのこれは私たちのブログで公開されます」と、Akira の身代金メモを脅かしています。

アキラの身代金メモ
アキラの身代金メモ
ソース:

各被害者は、攻撃者の Tor サイトに入力される固有のネゴシエーション パスワードを持っています。他の多くのランサムウェア操作とは異なり、この交渉サイトには、被害者がランサムウェア ギャングと交渉するために使用できるチャット システムが含まれているだけです。

Akira Tor 決済サイト
Akira Tor 決済サイト
ソース:

被害者を脅迫する情報漏えいサイト

他のランサムウェア操作と同様に、Akira は企業ネットワークを侵害し、他のデバイスに横方向に広がります。攻撃者が Windows ドメイン管理者の資格情報を取得すると、ネットワーク全体にランサムウェアを展開します。

ただし、ファイルを暗号化する前に、攻撃者は恐喝の試みに利用するために企業データを盗み、身代金が支払われなければ公開されることを被害者に警告します。

Akira ギャングはデータ漏洩サイトに多大な労力を注ぎ、以下に示すように、訪問者がコマンドを入力してナビゲートできるレトロな外観にしました。

アキラ情報流出サイト
アキラ情報流出サイト
ソース:

この記事の執筆時点で、Akira は 4 人の被害者のデータをデータ漏えいサイトに漏らしており、漏えいしたデータのサイズは、ある会社の 5.9 GB から別の会社の 259 GB までさまざまです。

が見た交渉によると、ランサムウェア ギャングは 20 万ドルから数百万ドルの範囲の身代金を要求しています。

彼らはまた、復号化ツールを必要とせず、盗まれたデータの漏洩を防ぎたいだけの企業に対する身代金の要求を下げようとしています.

このランサムウェアは現在、脆弱性について分析されており、無料の復号化ツールが無料でファイルを復元できるかどうかが判断されるまで、被害者に身代金を支払うようにアドバイスしていません。