APT Akira: Extrem aktive Ransomware fordert viel Lösegeld 

B2B Cyber Security ShortNews

Beitrag teilen

Die Ransomware-Gruppe Akira erlangte in kurzer Zeit Bekanntheit. Die Gruppe tauchte im März 2023 auf und war bereits im August die viertaktivste Gruppe, die von ihren Opfern Lösegeld in Millionenhöhe forderte. Logpoint hat die Taktiken, Techniken und Prozesse analysiert.

Akira konzentriert sich hauptsächlich auf Unternehmen verschiedener Branchen in Großbritannien und den USA, darunter Bildung, Finanzen, Immobilien, Produktion und Beratung.

„Akira hat sich als äußerst aktiv herausgestellt und in kurzer Zeit eine umfangreiche Opferliste angehäuft. Mit jedem Angriff entwickelt sich die Gruppe mit zusätzlichen Fähigkeiten weiter“, sagt Swachchhanda Shrawan Poudel, Logpoint Security Research Engineer. „Seit der Entstehung im März hat die Gruppe bereits eine Reihe von Opfern, und es deutet nichts darauf hin, dass ihre Aktivitäten abnehmen. Das Gegenteil ist der Fall, denn die Zahl der Opfer nimmt jeden Monat zu.“

APT Akira bereits auf Platz 4 der Rangliste

Bei der Ransomware handelt es sich um eine hoch entwickelte Schadsoftware, die darauf abzielt, die Dateien auf dem System eines Opfers zu verschlüsseln, Schattenkopien zu löschen und Anweisungen für die Zahlung des Lösegelds und die Datenwiederherstellung bereitzustellen. Sie verwendet Verschlüsselungsalgorithmen, Ausschlusskriterien und ein Kommunikationssystem basierend auf TOR, um bösartige Operationen durchzuführen.

Die Untersuchungen von Logpoint haben die Infektionskette von Akira durch Malware-Analysen aufgedeckt. Akira zielt aktiv auf Cisco ASA VPNs ohne Multifaktor-Authentifizierung ab, um CVE-2023-20269 als Eintrittspunkt für ihre Ransomware auszunutzen. Die Mitglieder der Gruppe verwenden in ihren Angriffen verschiedene Malware-Muster, die eine Reihe von Schritten zur Verschlüsselung von Opferdateien auslösen, darunter das Löschen von Schattenkopien, die Suche nach Dateien und Verzeichnissen sowie den Prozess der Aufzählung und Verschlüsselung.

Akira-Ransomware agiert gnadenlos

🔎 Die Akira Ransomware ist sehr aktiv seit März 2023 (Bild: Logpoint).

„Das Aufkommen von Akira zeigt, wie wichtig grundlegende Maßnahmen für die Cybersicherheit sind“, sagt Swachchhanda Shrawan Poudel. „In diesem Fall kann die Implementierung einer Multifaktor-Authentifizierung den Unterschied zwischen einer verheerenden Cyberattacke und einem harmlosen Angriffsversuch ausmachen. Unternehmen müssen Risiken beobachten und angemessene Schutzmaßnahmen ergreifen. Dazu gehört das Aktualisieren von Software und Systemen, die Überprüfung privilegierter Konten und die Segmentierung des Netzwerks.“

Logpoints Security Operations Plattform, Converged SIEM, bietet umfassende Tools und Funktionen zur Identifizierung, Bewertung und Eindämmung der Auswirkungen von Akira-Ransomware. Mit Funktionen wie der nativen Endpunktlösung AgentX und SOAR mit vorkonfigurierten Playbooks können Sicherheitsteams wichtige Schritte zur Incident Response automatisieren, wichtige Protokolle und Daten sammeln und die Erkennung und Beseitigung von Malware beschleunigen.

Logpoint hält in seinem Blog einen vollständigen Bericht über Akira bereit. Dort erhält man einen tiefen Einblick in die Infizierungskette, die technische Analyse von Malware-Samples und Empfehlungen zum Schutz vor der Bedrohung.

Mehr bei Logpoint.com

 


Über Logpoint

Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen