Cyberkriminelle nutzten in diesem Jahr bereits häufiger Sicherheitslücken in weit verbreiteten Firewalls aus. Jetzt wurden Mitglieder von Akira dabei beobachtet, wie sie eine SonicWall-Schwachstelle aktiv ausnutzen, wie ein führender Anbieter für Security-Operations berichtet.
Böswillige Akteure scheinen lokale SSLVPN-Konten auf SonicWall-Firewalls, die von der Sicherheitslücke betroffen sind, kompromittiert zu haben. Die Forscher stellen außerdem fest, dass bei den kompromittierten Geräten die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war. Zusammen mit den Schwachstellen in Sicherheitslösungen zu Beginn dieses Jahres ist dies ein weiteres Zeichen dafür, dass Angreifer nach Zugängen zu weit verbreiteter Software suchen. Angriffe auf die Lieferkette von Software, insbesondere von Sicherheitssoftware, werden zur neuen Normalität.
Akira ist seit März 2023 aktiv
Es überrascht nicht, dass die alten Conti-Akteure, die jetzt angeblich unter dem Namen der Akira-Gruppe agieren, bei ihren Operationen sehr raffiniert vorgehen. Dies ist eine Folge der zersplitterten Ransomware-Ökonomie, wie Untersuchungen verschiedener Sicherheitsforscher aufzeigen und z. B. in den Ergebnissen des jüngsten Internet Organised Crime Threat Assessment (IOCTA)-Berichts von Europol beschrieben werden. Logpoint verfolgt die Aktivitäten der Gruppe schon seit geraumer Zeit und hat ihre Angriffskettenmuster identifiziert. Die Gruppe ist im März 2023 aufgetaucht und seitdem aktiv.
Der berüchtigte Ransomware-Angriff auf einen deutschen Systemintegrator hat dazu geführt, dass mehr als 70 Gemeinden monatelang nicht arbeiten konnten. Die Gruppe verfügt über eine eigene Leak-Website im Dark Web, auf der die Opfer zusammen mit den gestohlenen Daten aufgelistet sind, falls ein Opfer den Lösegeldforderungen nicht nachkommt. In der Lösegeldforderung werden die Opfer angewiesen, wie sie das Lösegeld über ihr TOR-basiertes Portal aushandeln können. Mit mehreren Erpressungsmethoden fordern sie außerdem Lösegeld in Höhe von mehreren Millionen US-Dollar.
Ihre Angriffsmuster folgen lolbas (Living off the land binaries)-Techniken und sind wie folgt:
- Disabled Microsoft Defender AV
- Directory Listing of Remote Hosts
- ‘Advanced IP Scanner’ Execution
- ‘AnyDesk’ Execution
- ‘Rclone’ Execution
Akira ändert Verhalten und Techniken ständig
Die CISA hat außerdem im April eine Analyse veröffentlicht, in der sie feststellt, dass die Gruppe ihre Tools und ihr Verhalten ständig ändert. Etwas, das bei verschiedenen Bedrohungsakteuren und Ransomware-Gruppen zu beobachten ist: Sie tauschen ihre Tools aus, arbeiten mit Partnern zusammen, die manchmal dieselben sind, und nutzen für ihre Angriffe gemeinsam genutzte Botnet-Infrastrukturen, die im Darknet zu mieten sind.
Für Sicherheitsanalysten in aller Welt verschärft dies die alarmierende Situation, in der sie sich ohnehin befinden. Die „Alert Fatigue“ ist ein großes Problem: Je mehr Sicherheitslösungen und Überwachungssysteme im Einsatz sind, desto mehr Alarme mit einer Vielzahl von Fehlalarmen gehen ein, je nachdem, welche Systeme verwendet werden. Berichte sind gut für die Orientierung, aber in Bezug auf die Sicherheit eher weniger hoch priorisiert. Sie werden aus Compliance-Gründen und nicht für eine dringende Krisensituation erstellt. Auch KI und Gen-KI, die in Sicherheitslösungen vorinstalliert sind, mögen Fehlalarme auf die eine oder andere Weise reduzieren, aber sie beheben das Problem nicht, wenn es einfach zu viel gibt, was übersehen werden könnte.
Wie lassen sich kritische Alarme identifizieren?
Daher muss und sollte in den Sicherheitsteams darüber diskutiert werden, wie die Analyse von False Positives vermieden und die wichtigen kritischen Alarme gefunden werden können, die spätestens innerhalb von 48 Stunden bearbeitet werden müssen. Harte Arbeit und Erfahrung sind sicherlich hilfreich, aber Experten vor Ort in einem MSSP oder in einem eigenen SOC zu haben, ist vielleicht der größte Sicherheitsgewinn im Unternehmen. Hierbei geht es nicht um die Einhaltung von Vorschriften, sondern um die Abwehr täglicher Bedrohungen. Sie treten auf, ganz egal wie groß oder klein das anvisierte Unternehmen ist, den Bedrohungsakteuren ist es einfach egal. Unternehmen müssen vorbereitet sein und ihre Sicherheitsanalysten mit den richtigen Lösungen, den notwendigen Berechtigungen und der Unterstützung durch den Vorstand ausstatten, rät Christian Have, CTO bei Logpoint.
Mehr bei Logpoint.com
Über Logpoint
Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.
Passende Artikel zum Thema