Akira Ransomware weiterhin aktiv

Akira Ransomware weiterhin aktiv

Beitrag teilen

Akira verhielt sich im ersten Halbjahr 2024 eher ruhig. Aber die Kriminellen waren letztes Jahr nicht untätig. Gegen Ende des Jahres machten sie wieder mehr von sich reden. Sie nutzten Zero-Day-Schwachstellen aus und standen vermutlich mit chinesischen Advanced Persistent Threat (APT)-Gruppen in Verbindung.

Seit dem Ransomware-Vorfall bei einem deutschen IT-Dienstleister mit Auswirkungen auf über 70 Kommunen in 2023 wurde es ruhig um die Schadsoftware. Lediglich zu Beginn des Jahres macht die Berliner Hochschule für Technik (BHT) ihren Ransomware-Vorfall öffentlich. Auch hier war es Akira, die im Zuge einer Kompromittierung eines Accounts einige Server verschlüsselt hatte, allerdings ohne sensible Daten abgreifen zu können. Mitte November veröffentlichte die Gruppe auf ihrer Leak-Seite, dass sie angeblich Daten bei der Hager Group entwendet hätten, was sich dann jedoch als die Firma Uniola herausstellte.

Anzeige

Akira nutzt Zero-Day-Schwachstellen aus

Die Bedrohungsakteure waren also nicht untätig. Sie nutzten die neuesten Zero-Day-Schwachstellen aus, darunter Veeam Backup & Replication (VBR) (CVE-2024-40711), das die unautorisierte Remotecodeausführung auf anfälligen Computern ermöglicht. Talos Intelligence berichtete im Oktober, dass die Betreiber von Akira die kürzlich veröffentlichten Schwachstellen aggressiv ausnutzen, um sich Zugang zu Netzwerken zu verschaffen. So haben sie beispielsweise SonicWall SonicOS (CVE-2024-40766) und Cisco Security Appliances (CVE-2020-3259, CVE-2023-20263) angegriffen. Außerdem haben sie den BYOVD-Ansatz (Bring Your Own Vulnerable Driver) implementiert, bei dem der Antimalware-Treiber von Zemana verwendet wird, um Antimalware-bezogene Prozesse zu beenden.

Akira hat außerdem seine Fähigkeiten mit Tools wie EV-Killer und EDR-Killer erweitert, die Endpunkt-Erkennungs- und Reaktionssysteme (EDR) umgehen und zu einem Anstieg der weltweiten Opferzahlen beitragen. Im November 2024 fügte die Ransomware Akira an einem einzigen Tag mehr als 30 neue Opfer auf ihrer Datenleck-Site hinzu – die größte Anzahl seit Beginn ihrer Aktivitäten. Darüber hinaus hat sich Akira weiterentwickelt, um Linux-Systeme und virtuelle VMware ESXi-Maschinen über ein Rust-basiertes Derivat namens „Akira v2“ anzugreifen, was zeigt, dass die Ransomware bestrebt ist, ihre Angriffsmöglichkeiten zu verbessern und zu erweitern.

Zusammenarbeit mit anderen Gruppen oder nationalstaatlichen Akteuren

Einiges deutet darauf hin, dass die Ransomware Akira möglicherweise mit nationalstaatlichen Akteuren in Verbindung steht, insbesondere mit chinesischen Advanced Persistent Threat (APT)-Gruppen. Historische Anzeichen für Angriffe sowie die Nutzung der Alibaba-Cloud-Infrastruktur deuten auf eine wahrscheinliche Unterstützung durch einen Staat hin. Darüber hinaus haben die Betreiber Verbindungen zu anderen Ransomware-Gruppen nachgewiesen. So wurden sie beispielsweise mit der Conti-Ransomware-Organisation in Verbindung gebracht, und es gibt Anzeichen dafür, dass sie möglicherweise mit anderen Ransomware-Gruppen wie Snatch und BlackByte zusammenarbeiten. Es gibt jedoch keine stichhaltigen Beweise, sondern nur einen gewissen Verdacht, dass sie mit nationalen Akteuren oder Malware-Organisationen verbunden sind.

Fazit: Akira entwickelt sich ständig weiter

Die Ransomware Akira scheint eine Ransomware-as-a-Service (RaaS)-Strategie zu verwenden, bei der sie mit einer Vielzahl von Partnern und Freiberuflern zusammenarbeitet. Diese Partner sind für verschiedene Phasen des Angriffs verantwortlich, vom ersten Zugriff bis zur Bereitstellung der Ransomware und der Datenexfiltration. Akira-Betreiber erhalten häufig Netzwerkzugang von Erstzugangs-Brokern. Diese Makler bieten Zugang zu infiltrierten Netzwerken, die die Ransomware-Betreiber dann zur Verbreitung ihrer Software nutzen. Diese Veränderungen zeigen, dass sich sowohl die Betreiber als auch die Akira Ransomware selbst ständig weiterentwickelt, neue Strategien anwendet und ihre Reichweite vergrößert.

Mehr bei Logpoint.com


Über Logpoint

Logpoint schützt die Gesellschaft in einer digitalen Welt, indem es Kunden und Managed Security Service Providern (MSSPs) hilft, Cyberangriffe zu erkennen. Durch die Kombination von zuverlässiger Technologie mit einem tiefgreifenden Verständnis der Herausforderungen im Bereich der Cybersicherheit erleichtert Logpoint die Sicherheitsabläufe und gibt Unternehmen die Freiheit, sich weiterzuentwickeln. Die SIEM- und NDR-Technologien von Logpoint verbessern die Transparenz und bieten einen mehrschichtigen Ansatz für die Cybersicherheit, der Kunden und MSSPs in Europa hilft, sich in der komplexen Bedrohungslandschaft zurechtzufinden.


 

Passende Artikel zum Thema

KI basierte Cybersicherheitstools – eine Vertrauensfrage

Trotz Hype: Knapp 60 Prozent der deutschen Unternehmen sehen potenzielle Mängel in Cybersicherheitstools, die auf generativer KI basieren, als herausragendes ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Trend: Cyberkriminelle arbeiten weltweit zusammen

Cyberkriminelle werden immer agiler und arbeiten weltweit zusammen. Das belegt der neue Forschungsbericht „Bridging Divides, Transcending Borders: The Current State ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

BYOD: 4 Tipps um Sicherheitsrisiken zu minimieren

BYOD (Bring Your Own Device) bedeutet, dass Mitarbeiter in Unternehmen ihre persönlichen Geräte für die Arbeit nutzen dürfen. Daraus können ➡ Weiterlesen

Zero-Day-Schwachstelle bei Ivanti Connect Secure VPN

Mandiant hat Details zu einer Zero-Day-Schwachstelle (CVE-2025-0282) veröffentlicht, die Ivanti bekannt gegeben und gleichzeitig gepatcht hat und die seine Ivanti ➡ Weiterlesen

2025: So verändert sich die IT-Sicherheitslandschaft

Fünf Trends beeinflussen 2025 die IT-Sicherheitslandschaft. Sie wird an Komplexität weiter zunehmen, neue Technologien wie KI oder Quantencomputing bergen sowohl ➡ Weiterlesen

Ransomware & Co: Neue Malware-Machtverteilung 

Der aktuell ausgewertete Bedrohungsindex aus dem Dezember zeigt die Bedrohung durch FunkSec, eine Ransomware-Gruppe, die mit KI agiert. In Deutschland ➡ Weiterlesen