Akira: Gruppe nutzt Schwachstelle in Firewall aus

Akira: Gruppe nutzt Schwachstelle in Firewall aus

Beitrag teilen

Cyberkriminelle nutzten in diesem Jahr bereits häufiger Sicherheitslücken in weit verbreiteten Firewalls aus. Jetzt wurden Mitglieder von Akira dabei beobachtet, wie sie eine SonicWall-Schwachstelle aktiv ausnutzen, wie ein führender Anbieter für Security-Operations berichtet.

Böswillige Akteure scheinen lokale SSLVPN-Konten auf SonicWall-Firewalls, die von der Sicherheitslücke betroffen sind, kompromittiert zu haben. Die Forscher stellen außerdem fest, dass bei den kompromittierten Geräten die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war. Zusammen mit den Schwachstellen in Sicherheitslösungen zu Beginn dieses Jahres ist dies ein weiteres Zeichen dafür, dass Angreifer nach Zugängen zu weit verbreiteter Software suchen. Angriffe auf die Lieferkette von Software, insbesondere von Sicherheitssoftware, werden zur neuen Normalität.

Anzeige

Akira ist seit März 2023 aktiv

Es überrascht nicht, dass die alten Conti-Akteure, die jetzt angeblich unter dem Namen der Akira-Gruppe agieren, bei ihren Operationen sehr raffiniert vorgehen. Dies ist eine Folge der zersplitterten Ransomware-Ökonomie, wie Untersuchungen verschiedener Sicherheitsforscher aufzeigen und z. B. in den Ergebnissen des jüngsten Internet Organised Crime Threat Assessment (IOCTA)-Berichts von Europol beschrieben werden. Logpoint verfolgt die Aktivitäten der Gruppe schon seit geraumer Zeit und hat ihre Angriffskettenmuster identifiziert. Die Gruppe ist im März 2023 aufgetaucht und seitdem aktiv.

Der berüchtigte Ransomware-Angriff auf einen deutschen Systemintegrator hat dazu geführt, dass mehr als 70 Gemeinden monatelang nicht arbeiten konnten. Die Gruppe verfügt über eine eigene Leak-Website im Dark Web, auf der die Opfer zusammen mit den gestohlenen Daten aufgelistet sind, falls ein Opfer den Lösegeldforderungen nicht nachkommt. In der Lösegeldforderung werden die Opfer angewiesen, wie sie das Lösegeld über ihr TOR-basiertes Portal aushandeln können. Mit mehreren Erpressungsmethoden fordern sie außerdem Lösegeld in Höhe von mehreren Millionen US-Dollar.

Ihre Angriffsmuster folgen lolbas (Living off the land binaries)-Techniken und sind wie folgt:

  • Disabled Microsoft Defender AV
  • Directory Listing of Remote Hosts
  • ‘Advanced IP Scanner’ Execution
  • ‘AnyDesk’ Execution
  • ‘Rclone’ Execution

Akira ändert Verhalten und Techniken ständig

Die CISA hat außerdem im April eine Analyse veröffentlicht, in der sie feststellt, dass die Gruppe ihre Tools und ihr Verhalten ständig ändert. Etwas, das bei verschiedenen Bedrohungsakteuren und Ransomware-Gruppen zu beobachten ist: Sie tauschen ihre Tools aus, arbeiten mit Partnern zusammen, die manchmal dieselben sind, und nutzen für ihre Angriffe gemeinsam genutzte Botnet-Infrastrukturen, die im Darknet zu mieten sind.

Für Sicherheitsanalysten in aller Welt verschärft dies die alarmierende Situation, in der sie sich ohnehin befinden. Die „Alert Fatigue“ ist ein großes Problem: Je mehr Sicherheitslösungen und Überwachungssysteme im Einsatz sind, desto mehr Alarme mit einer Vielzahl von Fehlalarmen gehen ein, je nachdem, welche Systeme verwendet werden. Berichte sind gut für die Orientierung, aber in Bezug auf die Sicherheit eher weniger hoch priorisiert. Sie werden aus Compliance-Gründen und nicht für eine dringende Krisensituation erstellt. Auch KI und Gen-KI, die in Sicherheitslösungen vorinstalliert sind, mögen Fehlalarme auf die eine oder andere Weise reduzieren, aber sie beheben das Problem nicht, wenn es einfach zu viel gibt, was übersehen werden könnte.

Wie lassen sich kritische Alarme identifizieren?

Daher muss und sollte in den Sicherheitsteams darüber diskutiert werden, wie die Analyse von False Positives vermieden und die wichtigen kritischen Alarme gefunden werden können, die spätestens innerhalb von 48 Stunden bearbeitet werden müssen. Harte Arbeit und Erfahrung sind sicherlich hilfreich, aber Experten vor Ort in einem MSSP oder in einem eigenen SOC zu haben, ist vielleicht der größte Sicherheitsgewinn im Unternehmen. Hierbei geht es nicht um die Einhaltung von Vorschriften, sondern um die Abwehr täglicher Bedrohungen. Sie treten auf, ganz egal wie groß oder klein das anvisierte Unternehmen ist, den Bedrohungsakteuren ist es einfach egal. Unternehmen müssen vorbereitet sein und ihre Sicherheitsanalysten mit den richtigen Lösungen, den notwendigen Berechtigungen und der Unterstützung durch den Vorstand ausstatten, rät Christian Have, CTO bei Logpoint.

Mehr bei Logpoint.com

 


Über Logpoint

Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.


Passende Artikel zum Thema

Zunahme von Fog- und Akira-Ransomware

Im September gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese ➡ Weiterlesen

Chefs meinen IT-Security sei ganz „easy“

Jeder vierte Verantwortliche für IT-Security in Unternehmen muss sich den Vorwurf von Vorgesetzten anhören, Cybersicherheit sei doch ganz einfach. Externe ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen