Akira: Gruppe nutzt Schwachstelle in Firewall aus

Akira: Gruppe nutzt Schwachstelle in Firewall aus

Beitrag teilen

Cyberkriminelle nutzten in diesem Jahr bereits häufiger Sicherheitslücken in weit verbreiteten Firewalls aus. Jetzt wurden Mitglieder von Akira dabei beobachtet, wie sie eine SonicWall-Schwachstelle aktiv ausnutzen, wie ein führender Anbieter für Security-Operations berichtet.

Böswillige Akteure scheinen lokale SSLVPN-Konten auf SonicWall-Firewalls, die von der Sicherheitslücke betroffen sind, kompromittiert zu haben. Die Forscher stellen außerdem fest, dass bei den kompromittierten Geräten die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war. Zusammen mit den Schwachstellen in Sicherheitslösungen zu Beginn dieses Jahres ist dies ein weiteres Zeichen dafür, dass Angreifer nach Zugängen zu weit verbreiteter Software suchen. Angriffe auf die Lieferkette von Software, insbesondere von Sicherheitssoftware, werden zur neuen Normalität.

Anzeige

Akira ist seit März 2023 aktiv

Es überrascht nicht, dass die alten Conti-Akteure, die jetzt angeblich unter dem Namen der Akira-Gruppe agieren, bei ihren Operationen sehr raffiniert vorgehen. Dies ist eine Folge der zersplitterten Ransomware-Ökonomie, wie Untersuchungen verschiedener Sicherheitsforscher aufzeigen und z. B. in den Ergebnissen des jüngsten Internet Organised Crime Threat Assessment (IOCTA)-Berichts von Europol beschrieben werden. Logpoint verfolgt die Aktivitäten der Gruppe schon seit geraumer Zeit und hat ihre Angriffskettenmuster identifiziert. Die Gruppe ist im März 2023 aufgetaucht und seitdem aktiv.

Der berüchtigte Ransomware-Angriff auf einen deutschen Systemintegrator hat dazu geführt, dass mehr als 70 Gemeinden monatelang nicht arbeiten konnten. Die Gruppe verfügt über eine eigene Leak-Website im Dark Web, auf der die Opfer zusammen mit den gestohlenen Daten aufgelistet sind, falls ein Opfer den Lösegeldforderungen nicht nachkommt. In der Lösegeldforderung werden die Opfer angewiesen, wie sie das Lösegeld über ihr TOR-basiertes Portal aushandeln können. Mit mehreren Erpressungsmethoden fordern sie außerdem Lösegeld in Höhe von mehreren Millionen US-Dollar.

Ihre Angriffsmuster folgen lolbas (Living off the land binaries)-Techniken und sind wie folgt:

  • Disabled Microsoft Defender AV
  • Directory Listing of Remote Hosts
  • ‘Advanced IP Scanner’ Execution
  • ‘AnyDesk’ Execution
  • ‘Rclone’ Execution

Akira ändert Verhalten und Techniken ständig

Die CISA hat außerdem im April eine Analyse veröffentlicht, in der sie feststellt, dass die Gruppe ihre Tools und ihr Verhalten ständig ändert. Etwas, das bei verschiedenen Bedrohungsakteuren und Ransomware-Gruppen zu beobachten ist: Sie tauschen ihre Tools aus, arbeiten mit Partnern zusammen, die manchmal dieselben sind, und nutzen für ihre Angriffe gemeinsam genutzte Botnet-Infrastrukturen, die im Darknet zu mieten sind.

Für Sicherheitsanalysten in aller Welt verschärft dies die alarmierende Situation, in der sie sich ohnehin befinden. Die „Alert Fatigue“ ist ein großes Problem: Je mehr Sicherheitslösungen und Überwachungssysteme im Einsatz sind, desto mehr Alarme mit einer Vielzahl von Fehlalarmen gehen ein, je nachdem, welche Systeme verwendet werden. Berichte sind gut für die Orientierung, aber in Bezug auf die Sicherheit eher weniger hoch priorisiert. Sie werden aus Compliance-Gründen und nicht für eine dringende Krisensituation erstellt. Auch KI und Gen-KI, die in Sicherheitslösungen vorinstalliert sind, mögen Fehlalarme auf die eine oder andere Weise reduzieren, aber sie beheben das Problem nicht, wenn es einfach zu viel gibt, was übersehen werden könnte.

Wie lassen sich kritische Alarme identifizieren?

Daher muss und sollte in den Sicherheitsteams darüber diskutiert werden, wie die Analyse von False Positives vermieden und die wichtigen kritischen Alarme gefunden werden können, die spätestens innerhalb von 48 Stunden bearbeitet werden müssen. Harte Arbeit und Erfahrung sind sicherlich hilfreich, aber Experten vor Ort in einem MSSP oder in einem eigenen SOC zu haben, ist vielleicht der größte Sicherheitsgewinn im Unternehmen. Hierbei geht es nicht um die Einhaltung von Vorschriften, sondern um die Abwehr täglicher Bedrohungen. Sie treten auf, ganz egal wie groß oder klein das anvisierte Unternehmen ist, den Bedrohungsakteuren ist es einfach egal. Unternehmen müssen vorbereitet sein und ihre Sicherheitsanalysten mit den richtigen Lösungen, den notwendigen Berechtigungen und der Unterstützung durch den Vorstand ausstatten, rät Christian Have, CTO bei Logpoint.

Mehr bei Logpoint.com

 


Über Logpoint

Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.


Passende Artikel zum Thema

Akira: Gruppe nutzt Schwachstelle in Firewall aus

Cyberkriminelle nutzten in diesem Jahr bereits häufiger Sicherheitslücken in weit verbreiteten Firewalls aus. Jetzt wurden Mitglieder von Akira dabei beobachtet, ➡ Weiterlesen

Data Security Posture Management für Microsoft 365 Copilot

Da Unternehmen und ihr Microsoft 365-Datenvolumen wachsen, ist der Schutz sensibler Daten und die Zugriffsverwaltung noch wichtiger geworden. Rubrik hilft ➡ Weiterlesen

So schützen Unternehmen ihre OT-Umgebungen

OT-Umgebungen sind in den letzten Jahren deutlich gewachsen und sie sind zunehmend ins Visier von Cyberkriminellen geraten. Angriffe auf diese ➡ Weiterlesen

Cybersicherheit: Der Unterschied zwischen NIS und NIST

Im Bereich der Cybersicherheit und Cyberresilienz spielt aktuell der Start von NIS eine große Rolle. Wenn es um die Reduzierung ➡ Weiterlesen

KI-Cloud-Services erhöhen Resilienz von Rechenzentren

Ein Anbieter von KI-nativen, sicheren Netzwerken hat seine Sicherheitslösung für Rechenzentren um neue Funktionen erweitert. Sie verbessern die Netzwerktransparenz, -analyse ➡ Weiterlesen

Backup: Umfassendste Ausfallsicherheit für Microsoft 365

Ein Marktführer für Datenresilienz stellt seine neue Backup-Version für Microsoft 365 vor. Die neue Lösung bietet umfassende Unveränderlichkeit und unternehmensspezifische ➡ Weiterlesen

Digitale Resilienz stärken: Angriffe mit NDR frühzeitig erkennen

Ein führender Anbieter für Cybersicherheit hat seine Network Detection and Response Plattform (NDR) aktualisiert. Die neuen Verhaltensanalysen ermöglichen eine frühere ➡ Weiterlesen

Cybervorfälle kosten bis zu 186 Milliarden US-Dollar im Jahr

Die Analyse von mehr als 161.000 einzelnen Cybervorfällen deckt die steigenden globalen Kosten anfälliger oder unsicherer APIs und des automatisierten ➡ Weiterlesen