Cisco Systemsは2023年8月24日(米国時間)、多要素認証が設定されていないCisco VPNを標的にしたランサムウェア「Akira」の攻撃で、同社顧客のシステムが被害を受けたと発表した。
VPNの実装、利用において多要素認証(MFA)を有効にすることの重要性は明らかだ。MFAを導入することで、組織はランサムウェア感染を含め、不正アクセスのリスクを大幅に低減できる。ブルートフォースアタック(総当たり攻撃)により、攻撃者がユーザーのVPN認証情報を取得した場合でも、MFAなどの追加の保護を設定することで攻撃者がVPNに不正アクセスすることを防げると、Ciscoは述べている。
■ランサムウェアのAkiraとは
Ciscoによると、Akiraの最初の報告は2023年3月にさかのぼる。Akiraに関与する攻撃者は、Torネットワーク上のWebサイト(.onionドメインを持つ)を運営し、さまざまな恐喝戦略を用いている。身代金の要求が満たされない場合、被害者と盗み出された情報をリストアップする。被害者は、このTorベースのサイトを通じて犯罪者に連絡し、受け取った身代金メッセージに含まれる一意の識別子を使用して交渉を開始するよう指示される。
■MFAを使用しないVPNを標的に
VPNを標的にする場合、攻撃者は一般的に、公開されたITサービスやアプリケーションを利用する。Akiraは、MFAを利用していないVPNを標的とし、VPNソフトウェアなどの既知の脆弱(ぜいじゃく)性に注目し、標的ネットワークへの足掛かりを得ると、LSASS(Local Security Authority Subsystem Service)ダンプを通じて認証情報の抽出を狙う。
認証情報の取得後は、システムに不正アクセスしたり、権限を昇格させたりしようとする。攻撃者の多くはLiving-Off-The-Land Binaries(LOLBins)のようなバイナリを悪用したり、「PC Hunter 64」のようなCommercial Off-The-Shelf(COTS)ツールを悪用したりして、標的ネットワークに関するさらなる情報を収集しようとする。標的ネットワーク内部を監視するために、ミニダンプの作成に関与することもある。
https://atmarkit.itmedia.co.jp/ait/articles/2309/11/news039.html