Arkana Sicherheit
Arkana ist eine neu identifizierte ransomware , die mit einem aggressiven und öffentlichkeitswirksamen Angriff auf WideOpenWest (WOW!), einen großen US-amerikanischen Kabel- und Breitbandanbieter, an die Öffentlichkeit trat.
Die Herkunft von Arkana
Arkana ist eine neu identifizierte ransomware , die mit einem aggressiven und öffentlichkeitswirksamen Angriff auf WideOpenWest (WOW!), einen großen US-amerikanischen Kabel- und Breitbandanbieter, an die Öffentlichkeit trat. Obwohl die Gruppe erst vor kurzem aufgetaucht ist, lässt ihre operative Raffinesse darauf schließen, dass sie von erfahrenen Bedrohungsakteuren betrieben wird. Arkana arbeitet mit einem dreistufigen ransomware - Lösegeld, Verkauf und Durchsickern -, dassich auf Erpressung und Nötigungstaktiken konzentriert. Die Sprache, die auf der Onion-Website und in der Kommunikation verwendet wird, deutet auf einen möglichen russischen Ursprung oder eine russische Zugehörigkeit hin, obwohl dies noch nicht abschließend verifiziert werden konnte.
Ihre Strategie ist nicht nur technischer, sondern auch psychologischer Natur. Sie stützt sich auf Beschämungstaktiken und Doxxing von Unternehmen, um den Druck auf die Opfer zu erhöhen. Die Verwendung einer öffentlichen "Wall of Shame" und die Verbreitung von Informationen über entlarvte Führungskräfte durch die Gruppe markiert eine Verlagerung hin zu Angriffen auf den Ruf als Teil ihres Erpressungsplans.
Ziele
Die Ziele von Arkana
Zielländer von Arkana
Zwar wurden keine weiteren Angriffe öffentlich bekannt gegeben, doch der Angriff von Arkana auf WOW! - ein in den USA ansässiges Unternehmen - zeigt, dass das Unternehmen daran interessiert ist, westliche, insbesondere nordamerikanische Unternehmen ins Visier zu nehmen. Ihre Vorgehensweise lässt darauf schließen, dass sie bereit sind, etablierte Organisationen in stark regulierten Umgebungen anzugreifen.
Zielbranchen von Arkana
Arkana hat es in erster Linie auf die Telekommunikations- und Internetdienstleistungsbranche abgesehen, wie der erste bekannte Angriff auf WideOpenWest beweist. Ihr auf Erpressung ausgerichtetes Modell und ihre Techniken zur Ausnutzung der Infrastruktur lassen jedoch vermuten, dass sie gut positioniert sind, um jede Branche anzugreifen, die große Mengen an personenbezogenen Daten und Finanzdaten speichert und wichtige Backend-Systeme betreibt.
Zielbranchen von Arkana
Arkana hat es in erster Linie auf die Telekommunikations- und Internetdienstleistungsbranche abgesehen, wie der erste bekannte Angriff auf WideOpenWest beweist. Ihr auf Erpressung ausgerichtetes Modell und ihre Techniken zur Ausnutzung der Infrastruktur lassen jedoch vermuten, dass sie gut positioniert sind, um jede Branche anzugreifen, die große Mengen an personenbezogenen Daten und Finanzdaten speichert und wichtige Backend-Systeme betreibt.
Die Opfer von Arkana
Das einzige bestätigte Opfer ist derzeit WideOpenWest (WOW!). Die Gruppe beanspruchte Zugang zu:
- Über 403.000 Kundenkonten
- Backend-Plattformen wie AppianCloud und Symphonica
- Sensible Finanz- und PII-Daten
- Persönliche Daten von Führungskräften, einschließlich Sozialversicherungsnummern, Adressen und Kontaktinformationen
Dies deutet auf tiefgreifende laterale Bewegungen und einen Schwerpunkt auf privilegierten Backend-Systemenhin - was möglicherweisedie Bereitstellung von ransomware in großem Umfang auf Kundenendgeräten ermöglicht.
Angriffsmethode
Arkanas Angriffstechniken
Dies geschieht wahrscheinlich durch die Ausnutzung von Systemen mit Internetanschluss oder kompromittierten Anmeldeinformationen, möglicherweise über nicht gepatchte Sicherheitslücken oder phishing.
Erhielt erhöhte Berechtigungen innerhalb von Backend-Plattformen wie AppianCloud; nutzte wahrscheinlich plattformspezifische Fehlkonfigurationen oder Authentifizierungsumgehungen aus.
Um eine Entdeckung zu vermeiden, wurde der Zugriff auf die internen Systeme von WOW! über einen längeren Zeitraum aufrechterhalten; möglicherweise wurde die Protokollierung deaktiviert oder die Zugriffsmuster wurden verschleiert.
Zugriff auf eine breite Palette von Anmeldeinformationen, einschließlich Benutzernamen, Kennwörtern und Antworten auf Sicherheitsfragen, die für laterale Bewegungen und Persistenz verwendet werden.
Kartierung interner Dienste und APIs (z. B. Rechnungsstellung, Kundendaten), Identifizierung hochwertiger Ziele wie Symphonica und Appian.
Verteilt über interne Systeme, einschließlich Abrechnungs-APIs, CRM-Systeme und möglicherweise über Symphonica gesteuerte Geräte.
Exfiltrierte riesige Mengen an Daten, einschließlich personenbezogener Daten, Authentifizierungsdaten und Backend-Code aus kundenorientierten Systemen.
Behauptete, dass er in der Lage sei, malware über Symphonica auf Kundengeräte zu übertragen; möglicherweise mit benutzerdefinierten Skripten oder Payloads über Backend-Zugang.
Die Daten wurden wahrscheinlich im Laufe der Zeit extrahiert und für den Erpressungsprozess verwendet, einschließlich der Veröffentlichung von bereinigten Mustern und Screenshots.
Öffentliche Veröffentlichung gestohlener Daten, Doxxing von Führungskräften, Rufschädigung, potenzielle Verbreitung von malware an Endbenutzer.
Erster Zugang
Dies geschieht wahrscheinlich durch die Ausnutzung von Systemen mit Internetanschluss oder kompromittierten Anmeldeinformationen, möglicherweise über nicht gepatchte Sicherheitslücken oder phishing.
Rechte-Eskalation
Erhielt erhöhte Berechtigungen innerhalb von Backend-Plattformen wie AppianCloud; nutzte wahrscheinlich plattformspezifische Fehlkonfigurationen oder Authentifizierungsumgehungen aus.
Verteidigung Umgehung
Um eine Entdeckung zu vermeiden, wurde der Zugriff auf die internen Systeme von WOW! über einen längeren Zeitraum aufrechterhalten; möglicherweise wurde die Protokollierung deaktiviert oder die Zugriffsmuster wurden verschleiert.
Zugang zu Anmeldeinformationen
Zugriff auf eine breite Palette von Anmeldeinformationen, einschließlich Benutzernamen, Kennwörtern und Antworten auf Sicherheitsfragen, die für laterale Bewegungen und Persistenz verwendet werden.
Entdeckung
Kartierung interner Dienste und APIs (z. B. Rechnungsstellung, Kundendaten), Identifizierung hochwertiger Ziele wie Symphonica und Appian.
Seitliche Bewegung
Verteilt über interne Systeme, einschließlich Abrechnungs-APIs, CRM-Systeme und möglicherweise über Symphonica gesteuerte Geräte.
Sammlung
Exfiltrierte riesige Mengen an Daten, einschließlich personenbezogener Daten, Authentifizierungsdaten und Backend-Code aus kundenorientierten Systemen.
Ausführung
Behauptete, dass er in der Lage sei, malware über Symphonica auf Kundengeräte zu übertragen; möglicherweise mit benutzerdefinierten Skripten oder Payloads über Backend-Zugang.
Exfiltration
Die Daten wurden wahrscheinlich im Laufe der Zeit extrahiert und für den Erpressungsprozess verwendet, einschließlich der Veröffentlichung von bereinigten Mustern und Screenshots.
Auswirkungen
Öffentliche Veröffentlichung gestohlener Daten, Doxxing von Führungskräften, Rufschädigung, potenzielle Verbreitung von malware an Endbenutzer.
MITRE ATT&CK Kartierung
Von Arkana verwendete TTPs
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Plattform-Detektionen
So erkennen Sie Arkana mit Vectra AI AI
Häufig gestellte Fragen
Was ist Arkana und wie unterscheidet es sich von anderen ransomware ?
Arkana ist eine neu identifizierte ransomware mit einem dreistufigen Erpressungsmodell: Lösegeld, Verkauf und Durchsickern. Sie kombiniert traditionelle ransomware mit aggressivem Doxxing und Reputationsangriffen.
Steht Arkana in Verbindung mit bekannten Cybercrime-Gruppen?
Es gibt keine bestätigten Verbindungen, aber Sprache und Taktik deuten auf einen möglichen russischen Ursprung oder eine Verbindung zu osteuropäischen cyberkriminellen Ökosystemen hin.
Welchen Umfang hatte ihr Angriff auf WOW!?
Arkana behauptet, in die Backend-Infrastruktur eingedrungen zu sein, über 403.000 Kundenkonten exfiltriert und die Kontrolle über Plattformen wie Symphonica und AppianCloud erlangt zu haben.
Wie hat Arkana den ersten Zugang erhalten?
Unbestätigte, aber wahrscheinliche Methoden sind phishingoder das Ausnutzen ungepatchter öffentlicher Systeme.
Welche Arten von Daten wurden gestohlen?
Zu den Daten gehören Benutzernamen, Kennwörter, Sozialversicherungsnummern, Kreditkarteninformationen, Details zu Servicepaketen, Firebase-IDs und E-Mail-Kommunikationspräferenzen.
Hat Arkana tatsächlich ransomware eingesetzt?
Sie agieren als Datenerpressergruppe, behaupten aber auch, dass sie malware auf Kundengeräte übertragen können, was darauf hindeutet, dass der Einsatz von ransomware möglich ist.
Wie können Unternehmen solche Angriffe erkennen und darauf reagieren?
Implementieren Sie Lösungen zur Erkennung von und Reaktion auf Bedrohungen wie Vectra AI. Überwachen Sie auf ungewöhnliche API-Aufrufe, unbefugten Zugriff und abnormale Datenexfiltration. Wenden Sie zero trust und MFA an.
Ist Arkana noch aktiv?
Bis jetzt ist ihre Onion-Site in Betrieb und sie haben nur WOW! als Opfer aufgeführt, aber ihre Infrastruktur lässt auf laufende Aktivitäten und zukünftige Angriffe schließen.
Was sind die rechtlichen Risiken für die Opfer von Arkana?
Die Opfer könnten aufgrund der Art der gestohlenen Daten mit Geldbußen (z. B. HIPAA, GDPR), Klagen von betroffenen Kunden und Sammelklagen konfrontiert werden.
Was kann der Einzelne tun, wenn er betroffen ist?
Kunden von WOW! sollten:
- Aktivieren der Kreditüberwachung
- Passwörter und Sicherheitsfragen ändern
- Überwachung auf phishing und unbefugten Kontozugriff