Bleeping Computerは8月22日(米国時間)、「Akira ransomware targets Cisco VPNs to breach organizations」において、ランサムウェア「Akira」が企業ネットワークへ侵入するためにCisco VPNを標的にしていると報じた。

  • Akira ransomware targets Cisco VPNs to breach organizations

    Akira ransomware targets Cisco VPNs to breach organizations

Akiraは「ランサムウェア「Akira」がLinuxにも襲来、注意を | TECH+(テックプラス)」でも報じた比較的新しいランサムウェア。今回Bleeping Computerは、Akiraが企業ネットワークへ侵入するためにCisco VPN製品を標的にしていることを示す証拠が相次いで発見されたとしている。

これまでのところ、Akiraは追加のバックドアを設置したり、発見されるような永続化の設定をしたりすることなく企業ネットワークに侵入していると見られている。Bleeping Computerと非公開で情報共有を行ったSentinelOne WatchTowerの報告では、多要素認証(MFA: Multi-Factor Authentication)が設定されていないCisco VPNに認証をバイパスできる未知の脆弱性があり、これをAkiraが悪用したのではないだろうかとの可能性を示している。

また、SentinelOne WatchTowerの分析者によると、Akiraは遠隔操作にリモートデスクトップアクセスソフトウェアのRustDeskを使用するとのことだ。RustDeskはクロスプラットフォーム環境で動作する正規のアプリケーションで、通信の暗号化およびファイル転送をサポートする。これはAkiraによる侵害を効率的に支援するとみられている。

2023年6月下旬(米国時間)、Avastから復元ツールがリリースされ、Akiraにより暗号化されたデータの復元が無料で可能となった。しかしながら、Bleeping ComputerによるとAkiraの暗号化処理に変更があり、Avastのツールでは復元ができなくなったという。

AkiraがCisco VPNにどのようにして侵入しているのかはまだ明らかになっていないが、Cisco VPNを標的としている可能性が高いことから、Cisco VPNの管理者は多要素認証の設定など、できる限りの対策と監視を行うことが望まれている。