Zunahme von Fog- und Akira-Ransomware

Zunahme von Fog- und Akira-Ransomware

Beitrag teilen

Im September gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese Schwachstelle in den von Arctic Wolf untersuchten Fällen ausgenutzt wurde, jedoch verfügten alle SonicWall-Geräte, die in diese Fälle verwickelt waren, über Firmware-Versionen, die von dieser Schwachstelle betroffen sind.

Obwohl in einigen Angriffsfällen der Missbrauch von Anmeldeinformationen nicht ausgeschlossen werden kann, unterstreicht der Trend der zunehmenden Bedrohungsaktivitäten bei SonicWall-Geräten die Notwendigkeit, Firmware-Updates durchzuführen und eine externe Protokollüberwachung zu implementieren. Die wichtigsten Erkenntnisse:

Anzeige
  • Arctic Wolf hat seit Anfang August eine Zunahme von mindestens 30 Akira- und Fog-Fällen in einer Vielzahl von Branchen beobachtet, die alle SonicWall SSL VPN in einem frühen Stadium der Angriffskette betreffen. Daraus kann geschlossen werden, dass Mitglieder dieser Gruppen die Ransomware-Varianten Fog und Akira aktiver verbreiten.
  • Keines der betroffenen SonicWall-Geräte wurde gegen die Sicherheitslücke CVE-2024-40766 gepatcht, die nach Angaben von SonicWall potenziell aktiv ausgenutzt wird. Die Schwachstelle wurde von SonicWall am 22. August 2024 öffentlich bekannt gegeben (https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015), seitdem haben sich jedoch mehrere wichtige Änderungen ergeben:
    • 28.8.2024: SonicWall aktualisiert den Hinweis, um das Zurücksetzen von SSL-VPN-Kennwörtern einzuschließen, wobei zuvor nur das Verwaltungsnetzwerk betroffen war.
    • 06.09.2024: SonicWall aktualisiert den Hinweis, dass die Schwachstelle „potenziell“ aktiv ausgenutzt wird und nennt SSL VPN ausdrücklich als potenziell anfällig. Arctic Wolf verschickt am selben Tag ein eigenes Bulletin und ergänzt, dass Akira-Mitglieder die Schwachstelle möglicherweise ausnutzen.
    • Es wurde ein kurzes Intervall zwischen dem ersten Zugriff auf das SSL-VPN-Konto und der Verschlüsselung durch die Ransomware beobachtet. Diese geschieht oftmals innerhalb desselben Tages.
  • Bislang wurde noch nicht erwähnt, dass eine Reihe von Fällen nach Geschäftsschluss oder am Wochenende auftraten, was das Arctic Wolf-Team beobachtete. Diese Variante wird häufig in kleinen und mittelständischen Unternehmen eingesetzt. Auch die Ergebnisse des Arctic Wolf Security Operations Report deuten auf vermehrte Cyberangriffe nach Feierabend.
    • Im Gegensatz zu den großen Ransomware-Angriffen, die wir in den vergangenen Jahren gesehen haben, sind diese Attacken weniger zielgerichtet, da die Ransomware-Anbieter herausgefunden haben, wie sie ihren Gesamtaufwand und die Durchlaufzeit reduzieren können.
    • Vor allem für KMU, von denen einige nicht über ein dediziertes IT-Team verfügen, ist dieses Angriffsmuster besonders perfide: Die Angreifer haben es auf Schwachstellen abgesehen, die in der Patch-Priorisierung weiter unten stehen und verschlüsseln sensible Daten meist noch am selben Tag. Für die Unternehmen kommt dies einer Katastrophe gleich.

Kommerzialisierung des Angriffsprozesses

Immer häufiger werden Schwachstellen auf opportunistische Weise ausgenutzt. Ransomware-Ableger haben es geschafft, die Bereitstellungszeiten drastisch zu verkürzen, was jedes Unternehmen für Angriffe öffnet und den Spielraum für Fehler bei Eindämmung und Erkennung zunehmend verkleinert. Besonders seit Aufkommen des Ransomware-as-a-Service-Modells ist eine fortschreitende Kommerzialisierung des Angriffsprozesses zu beobachten: Initial Access Broker verkaufen Zugang zu den Opferorganisationen, Ransomware-Partner setzen Verschlüsselungssoftware ein und führen praktische Keyboard-Aktivitäten durch und Ransomware-Betreiber stellen diesen Partnern die Leak-Site-Infrastruktur und technische Unterstützung für Verschlüsselungstools bereit. Die Folge davon ist, dass auch weniger erfahrene Bedrohungsakteure Bekanntheit erlangen und Profit machen können.

Im Zuge der Verlagerung auf Ransomware-as-a-Service haben sich größere Konglomerate in kleinere Einheiten aufgeteilt, die auf unterschiedliche Weise zusammenarbeiten und miteinander konkurrieren. Diese Zersplitterung wird von den kriminellen Gruppen als Risikostreuung wahrgenommen und ermöglicht ihnen einen fließenden Wechsel zwischen den Anbietern, wenn die Strafverfolgungsbehörden einen Teil ihrer Lieferkette ausschalten konnten.

Mehr bei ArcticWolf.com

 


Über Arctic Wolf

Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.


 

Passende Artikel zum Thema

Datenwiederherstellung in hybriden IT-Umgebungen

Acht von zehn Unternehmen wurden schon durch Ransomware attackiert. Deshalb ist eine anpassungsfähige Datenwiederherstellung gerade für hybride IT-Landschaften essentiell notwendig, ➡ Weiterlesen

Compliance Assistant unterstützt bei DORA Umsetzung

Mithilfe des Compliance Assistant lassen sich Risiken leichter minimieren und zeitaufwändige Prüfungen von Konfigurationen im Rahmen von DORA verkürzen. Dazu ➡ Weiterlesen

Report: Angriffe auf kritische Infrastrukturen nehmen zu

Die Zahl der Sicherheitsvorfälle in kritischen Infrastrukturen ist seit 2022 um 668 Prozent gestiegen. Der Threat Roundup-Bericht 2024 wirft ein Schlaglicht ➡ Weiterlesen

Orchestrierung der E-Mail-Verschlüsselung

E-Mails sind ein unverzichtbares Werkzeug in einer Arbeitswelt, die immer dezentraler wird. Aber wie lassen sich Praktikabilität, Resilienz und Vertrauen ➡ Weiterlesen

Cybersecurity-Risiken durch DeepSeek

Die Nutzung von KI-Plattformen, wie beispielsweise DeepSeek, mögen ein Schritt nach vorn sein, Unternehmen müssen die Risiken aber sorgfältig abwägen ➡ Weiterlesen

Gefahren für Browser durch KI und Zero-Day-Schwachstellen

Wegen der zunehmenden Umstellung von Unternehmen auf Web-Arbeitsumgebungen, SaaS-Plattformen, Cloud-basierte Anwendungen, Remote-Arbeit und BYOD-Richtlinien konzentrieren sich Hacker verstärkt auf Browser ➡ Weiterlesen

Wie Bedrohungsakteure Gemini für Angriffe nutzen

Die Google Threat Intelligence Group (GTIG) hat einen neuen Bericht „Adversarial Misuse of Generative AI“ veröffentlicht, in dem die Sicherheitsexperten ➡ Weiterlesen

Supply Chain Risk Report

Ein Anbieter von Lösungen für das Nachhaltigkeitsmanagement in Unternehmen hat seinen Supply Chain Risk Report 2025 veröffentlicht. Dieser Bericht umfasst ➡ Weiterlesen