APT Akira: Extrem aktive Ransomware fordert viel Lösegeld 

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Die Ransomware-Gruppe Akira erlangte in kurzer Zeit Bekanntheit. Die Gruppe tauchte im März 2023 auf und war bereits im August die viertaktivste Gruppe, die von ihren Opfern Lösegeld in Millionenhöhe forderte. Logpoint hat die Taktiken, Techniken und Prozesse analysiert.

Akira konzentriert sich hauptsächlich auf Unternehmen verschiedener Branchen in Großbritannien und den USA, darunter Bildung, Finanzen, Immobilien, Produktion und Beratung.

Anzeige

„Akira hat sich als äußerst aktiv herausgestellt und in kurzer Zeit eine umfangreiche Opferliste angehäuft. Mit jedem Angriff entwickelt sich die Gruppe mit zusätzlichen Fähigkeiten weiter“, sagt Swachchhanda Shrawan Poudel, Logpoint Security Research Engineer. „Seit der Entstehung im März hat die Gruppe bereits eine Reihe von Opfern, und es deutet nichts darauf hin, dass ihre Aktivitäten abnehmen. Das Gegenteil ist der Fall, denn die Zahl der Opfer nimmt jeden Monat zu.“

APT Akira bereits auf Platz 4 der Rangliste

Bei der Ransomware handelt es sich um eine hoch entwickelte Schadsoftware, die darauf abzielt, die Dateien auf dem System eines Opfers zu verschlüsseln, Schattenkopien zu löschen und Anweisungen für die Zahlung des Lösegelds und die Datenwiederherstellung bereitzustellen. Sie verwendet Verschlüsselungsalgorithmen, Ausschlusskriterien und ein Kommunikationssystem basierend auf TOR, um bösartige Operationen durchzuführen.

Anzeige

Die Untersuchungen von Logpoint haben die Infektionskette von Akira durch Malware-Analysen aufgedeckt. Akira zielt aktiv auf Cisco ASA VPNs ohne Multifaktor-Authentifizierung ab, um CVE-2023-20269 als Eintrittspunkt für ihre Ransomware auszunutzen. Die Mitglieder der Gruppe verwenden in ihren Angriffen verschiedene Malware-Muster, die eine Reihe von Schritten zur Verschlüsselung von Opferdateien auslösen, darunter das Löschen von Schattenkopien, die Suche nach Dateien und Verzeichnissen sowie den Prozess der Aufzählung und Verschlüsselung.

Akira-Ransomware agiert gnadenlos

🔎 Die Akira Ransomware ist sehr aktiv seit März 2023 (Bild: Logpoint).

„Das Aufkommen von Akira zeigt, wie wichtig grundlegende Maßnahmen für die Cybersicherheit sind“, sagt Swachchhanda Shrawan Poudel. „In diesem Fall kann die Implementierung einer Multifaktor-Authentifizierung den Unterschied zwischen einer verheerenden Cyberattacke und einem harmlosen Angriffsversuch ausmachen. Unternehmen müssen Risiken beobachten und angemessene Schutzmaßnahmen ergreifen. Dazu gehört das Aktualisieren von Software und Systemen, die Überprüfung privilegierter Konten und die Segmentierung des Netzwerks.“

Logpoints Security Operations Plattform, Converged SIEM, bietet umfassende Tools und Funktionen zur Identifizierung, Bewertung und Eindämmung der Auswirkungen von Akira-Ransomware. Mit Funktionen wie der nativen Endpunktlösung AgentX und SOAR mit vorkonfigurierten Playbooks können Sicherheitsteams wichtige Schritte zur Incident Response automatisieren, wichtige Protokolle und Daten sammeln und die Erkennung und Beseitigung von Malware beschleunigen.

Logpoint hält in seinem Blog einen vollständigen Bericht über Akira bereit. Dort erhält man einen tiefen Einblick in die Infizierungskette, die technische Analyse von Malware-Samples und Empfehlungen zum Schutz vor der Bedrohung.

Mehr bei Logpoint.com

 


Über Logpoint

Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.


 

Passende Artikel zum Thema

Cyberangriff auf Qantas – Scattered Spider im Verdacht

Ende Juni gab es einen Hackerangriff auf die australische Fluglinie Qantas. Nun gibt es erste Bestätigungen, dass über 5 Millionen ➡ Weiterlesen

Cyberangriff auf Klinikverbund mit 100 Kliniken

Die AMEOS Gruppe, einer der größten privaten Klinikverbunde in Deutschland mit über 100 Einrichtungen und rund 18.000 Mitarbeitenden, wurde am ➡ Weiterlesen

Ermittler zerschlagen DDoS Botnetz von pro-russischer NoName057(16)

Das BKA und internationale Ermittler haben die Operation Eastwood erfolgreich abgeschlossen. Das Ziel war die Angriffsfähigkeit der pro-russischen Gruppe NoName057(16) ➡ Weiterlesen

Report Europa: Phishing häufigste Angriffsmethode

Der aktuell veröffentlichte Research Report Europa zeigt, dass Cyberkriminelle am häufigsten Adobe, gefolgt von Microsoft, bei Cloud-Phishing-Versuchen nachahmen, um Anmeldedaten ➡ Weiterlesen

Schlag gegen die Malware DanaBot

internationale Strafverfolgungsbehörden haben in Zusammenarbeit mit dem US-Justizministerium einen bedeutenden Schlag gegen die Schadsoftware DanaBot erzielt. Die Malware wurde von ➡ Weiterlesen

Aktive Malware Erkennung schützt Nutanix Backups

Die traditionellen Tools zur Erkennung von Malware schützen Unternehmen vor heutigen Bedrohungen nicht mehr ausreichend. Denn Cyberkriminelle attackieren mit Ransomware ➡ Weiterlesen

DragonForce: Wie sich ein Ransomware-Kartell seine Stellung sichert

Ransomware ist nicht nur ein Geschäft, es ist eine Szene. Hier kommt es nicht nur auf Kompetenz und Ressourcen an, ➡ Weiterlesen

Hackerangriff: Fluglinie Qantas verliert Kundendaten

Anfang Juli gab es einen Hackerangriff auf die australische Fluglinie Qantas. Wie das Unternehmen bestätigt, wurde eines ihrer Contact Center ➡ Weiterlesen