Akira
Die Akira Ransomware Group ist bekannt für ihre "Retro-Ästhetik" und dafür, dass sie hauptsächlich Schwachstellen in VPN-Diensten und bekannte Cisco-Schwachstellen ausnutzt.
Der Ursprung von Akira ransomware
Die Gruppe Akira ransomware , die erstmals im März 2023 beobachtet wurde, ist für ihre raffinierten ransomware Angriffe auf verschiedene Branchen weltweit bekannt. Es gibt Spekulationen über ihre Verbindungen zur ehemaligen CONTI ransomware -Gruppe, da mehrere CONTI-Mitglieder nach der Einstellung der CONTI-Aktivitäten zu unabhängigen Kampagnen wie Royal, BlackBasta und möglicherweise Akira abgewandert sind. Diese Gruppe arbeitet nach einem Ransomware-as-a-Service (RaaS)-Modell, das es den Partnern ermöglicht, ransomware gegen einen Anteil an den Lösegeldzahlungen zu nutzen.
Berichten zufolge arbeiten Akira-Mitglieder auch mit anderen ransomware Operationen wie Snatch und BlackByte zusammen, was durch ein offenes Verzeichnis von Tools belegt wird, die von einem Akira-Operator verwendet wurden und Verbindungen zu Snatch ransomware hatten. Die erste Version von Akira ransomware war in C++ geschrieben und hängte Dateien mit der Endung ".akira" an, wobei eine Lösegeldforderung mit dem Namen "akira_readme.txt" erstellt wurde, die teilweise auf dem Quellcode von Conti V2 basierte. Am 29. Juni 2023 wurde Berichten zufolge ein Entschlüsselungsprogramm für diese Version von Avast aufgrund eines Fehlers in ihrem Verschlüsselungsmechanismus veröffentlicht.
Am 2. Juli 2023 wurde dann eine neue Version veröffentlicht, die die Entschlüsselungslücke behebt. Diese Version soll in Rust geschrieben sein, "megazord.exe" heißen und die Erweiterung verschlüsselter Dateien in ".powerranges" ändern. Die meisten der anfänglichen Zugriffsvektoren von Akira beinhalten Brute-Force-Versuche auf Cisco VPN-Geräte, die eine Ein-Faktor-Authentifizierung verwenden, was sie anfällig für unbefugten Zugriff macht. Darüber hinaus wurde festgestellt, dass die Gruppe bekannte Schwachstellen - insbesondere CVE-2019-6693 und CVE-2022-40684 -ausnutzt , umsich Zugang zu den Zielsystemen zu verschaffen.
Der Ursprung von Akira bleibt unklar, aber seine Aktivitäten lassen auf ein hohes Maß an technischem Know-how und Organisation schließen.
Kartographie: OCD
Ziele
Akira ransomware's Ziele
Zielländer von Akira
Akira hat mit bestätigten Angriffen in Nordamerika, Europa und Asien eine globale Reichweite gezeigt. Ihr wahlloses Angriffsmuster deutet darauf hin, dass sie sich darauf konzentrieren, anfällige Systeme unabhängig vom geografischen Standort auszunutzen.
Bildquelle: Ransomware.live
Zielindustrien von Akira
Akira ransomware hat ein breites Spektrum von Branchen ins Visier genommen, darunter das Gesundheitswesen, Finanzdienstleistungen, das Bildungswesen und die Produktion. Ihre Angriffe haben kritische Dienste und Abläufe gestört und den betroffenen Unternehmen erheblichen finanziellen und rufschädigenden Schaden zugefügt.
Screenshot-Quelle: Cyble
Zielindustrien von Akira
Akira ransomware hat ein breites Spektrum von Branchen ins Visier genommen, darunter das Gesundheitswesen, Finanzdienstleistungen, das Bildungswesen und die Produktion. Ihre Angriffe haben kritische Dienste und Abläufe gestört und den betroffenen Unternehmen erheblichen finanziellen und rufschädigenden Schaden zugefügt.
Screenshot-Quelle: Cyble
Akiras Opfer
Mehr als 341 Opfer wurden von Akira angegriffen. Zu den namhaften Opfern gehören große Gesundheitseinrichtungen, führende Universitäten und bekannte Finanzunternehmen. Diese Angriffe führen häufig zur Exfiltration sensibler Daten, die dann verwendet werden, um die Opfer zur Zahlung des Lösegelds zu zwingen.
Quelle: ransomware.live
Angriffsmethode
Akira's Angriffsmethode
Akira verschafft sich in der Regel zunächst Zugang über phishing E-Mails, nutzt Schwachstellen in öffentlich zugänglichen Anwendungen oder kompromittierte Anmeldedaten aus. Sie verwenden oft Spear-phishing , um bestimmte Personen in Unternehmen anzugreifen.
Sobald Akira in das Netzwerk eingedrungen ist, verwendet er verschiedene Techniken, um seine Privilegien zu erweitern, wie z. B. das Ausnutzen bekannter Schwachstellen und die Verwendung legitimer Verwaltungstools, um Zugriff auf höhere Ebenen zu erhalten.
Um einer Entdeckung zu entgehen, setzt Akira ausgeklügelte Umgehungstechniken ein, darunter die Deaktivierung von Sicherheitssoftware, die Verwendung von Verschleierungstechniken und das Löschen von Protokollen, um ihre Spuren zu verwischen.
Akira sammelt Anmeldedaten durch Keylogging, Credential Dumping und den Einsatz von Tools wie Mimikatz, um Passwörter von infizierten Systemen zu sammeln.
Die Gruppe führt eine gründliche Erkundung durch, um das Netzwerk abzubilden, wichtige Anlagen zu identifizieren und die Struktur des Unternehmens zu verstehen. Zu diesem Zweck verwenden sie Tools wie PowerShell und benutzerdefinierte Skripte.
Akira bewegt sich seitlich durch das Netzwerk, wobei er kompromittierte Anmeldeinformationen verwendet, Vertrauensbeziehungen ausnutzt und Tools wie RDP und SMB zur Verbreitung einsetzt.
Bei der Datenerfassung werden sensible Informationen, geistiges Eigentum und persönliche Daten gesammelt, die dann zu Erpressungszwecken exfiltriert werden.
Die Nutzlast ransomware wird ausgeführt und verschlüsselt die Dateien auf den Systemen der Opfer. Akira verwendet robuste Verschlüsselungsalgorithmen, um sicherzustellen, dass Dateien ohne den Entschlüsselungsschlüssel nicht wiederhergestellt werden können.
Vor der Verschlüsselung exfiltriert Akira sensible Daten auf externe Server unter ihrer Kontrolle und nutzt dabei verschlüsselte Kommunikationskanäle, um nicht entdeckt zu werden.
Die Auswirkungsphase umfasst den Abschluss der Verschlüsselung und die Übergabe der Lösegeldforderung, in der eine Zahlung im Austausch für den Entschlüsselungsschlüssel und das Versprechen, die exfiltrierten Daten zu löschen, gefordert wird.
Erster Zugang
Akira verschafft sich in der Regel zunächst Zugang über phishing E-Mails, nutzt Schwachstellen in öffentlich zugänglichen Anwendungen oder kompromittierte Anmeldedaten aus. Sie verwenden oft Spear-phishing , um bestimmte Personen in Unternehmen anzugreifen.
Rechte-Eskalation
Sobald Akira in das Netzwerk eingedrungen ist, verwendet er verschiedene Techniken, um seine Privilegien zu erweitern, wie z. B. das Ausnutzen bekannter Schwachstellen und die Verwendung legitimer Verwaltungstools, um Zugriff auf höhere Ebenen zu erhalten.
Verteidigung Umgehung
Um einer Entdeckung zu entgehen, setzt Akira ausgeklügelte Umgehungstechniken ein, darunter die Deaktivierung von Sicherheitssoftware, die Verwendung von Verschleierungstechniken und das Löschen von Protokollen, um ihre Spuren zu verwischen.
Zugang zu Anmeldeinformationen
Akira sammelt Anmeldedaten durch Keylogging, Credential Dumping und den Einsatz von Tools wie Mimikatz, um Passwörter von infizierten Systemen zu sammeln.
Entdeckung
Die Gruppe führt eine gründliche Erkundung durch, um das Netzwerk abzubilden, wichtige Anlagen zu identifizieren und die Struktur des Unternehmens zu verstehen. Zu diesem Zweck verwenden sie Tools wie PowerShell und benutzerdefinierte Skripte.
Seitliche Bewegung
Akira bewegt sich seitlich durch das Netzwerk, wobei er kompromittierte Anmeldeinformationen verwendet, Vertrauensbeziehungen ausnutzt und Tools wie RDP und SMB zur Verbreitung einsetzt.
Sammlung
Bei der Datenerfassung werden sensible Informationen, geistiges Eigentum und persönliche Daten gesammelt, die dann zu Erpressungszwecken exfiltriert werden.
Ausführung
Die Nutzlast ransomware wird ausgeführt und verschlüsselt die Dateien auf den Systemen der Opfer. Akira verwendet robuste Verschlüsselungsalgorithmen, um sicherzustellen, dass Dateien ohne den Entschlüsselungsschlüssel nicht wiederhergestellt werden können.
Exfiltration
Vor der Verschlüsselung exfiltriert Akira sensible Daten auf externe Server unter ihrer Kontrolle und nutzt dabei verschlüsselte Kommunikationskanäle, um nicht entdeckt zu werden.
Auswirkungen
Die Auswirkungsphase umfasst den Abschluss der Verschlüsselung und die Übergabe der Lösegeldforderung, in der eine Zahlung im Austausch für den Entschlüsselungsschlüssel und das Versprechen, die exfiltrierten Daten zu löschen, gefordert wird.
MITRE ATT&CK Kartierung
Von Akira verwendete TTPs
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1136
Create Account
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
T1219
Remote Access Software
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Plattform-Detektionen
Wie man Akira aufspürt mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist Akira ransomware?
Akira ransomware ist eine ausgeklügelte malware , die von Cyberkriminellen zur Verschlüsselung von Dateien und zur Erpressung von Lösegeldzahlungen eingesetzt wird.
Wie verschafft sich Akira Zugang zu den Netzen?
Akira verschafft sich den ersten Zugang durch phishing E-Mails, das Ausnutzen von Schwachstellen und die Verwendung kompromittierter Anmeldeinformationen.
Auf welche Branchen ist Akira ausgerichtet?
Akira zielt auf eine breite Palette von Branchen ab, darunter das Gesundheitswesen, Finanzdienstleistungen, Bildung und Fertigung.
Welche Techniken verwendet Akira, um sich der Entdeckung zu entziehen?
Akira nutzt Techniken wie die Deaktivierung von Sicherheitssoftware, Verschleierung und das Löschen von Protokollen, um die Entdeckung zu umgehen.
Wie kann Akira die Privilegien innerhalb eines Netzwerks ausweiten?
Akira nutzt bekannte Schwachstellen aus und verwendet legitime Verwaltungstools, um Zugriff auf höhere Ebenen zu erhalten.
Welche Art von Daten exfiltriert Akira?
Akira exfiltriert sensible Informationen, geistiges Eigentum und persönliche Daten, bevor es die Dateien verschlüsselt.
Wie verschlüsselt Akira Dateien?
Akira verwendet robuste Verschlüsselungsalgorithmen, um sicherzustellen, dass Dateien ohne den Entschlüsselungsschlüssel nicht wiederhergestellt werden können.
Welche Auswirkungen hat ein Angriff auf Akira ransomware ?
Zu den Auswirkungen gehören Datenverschlüsselung, Dienstunterbrechungen und finanzielle Verluste aufgrund von Lösegeldzahlungen und Wiederherstellungsbemühungen.
Kann Akira ransomware aufgespürt und gestoppt werden?
Erkennung und Vorbeugung erfordern robuste Sicherheitsmaßnahmen, einschließlich erweiterter Erkennungs- und Reaktionslösungen (XDR), regelmäßiger Software-Updates und Mitarbeiterschulungen.
Was sollten Unternehmen tun, wenn sie mit Akira ransomware infiziert sind?
Unternehmen sollten die betroffenen Systeme abschalten, den Vorfall den Behörden melden und sich an professionelle Cybersicherheitsexperten wenden, um den Schaden zu begrenzen und Daten wiederherzustellen.