Arkana Sicherheit
Arkana ist eine neu identifizierte ransomware , die mit einem aggressiven und öffentlichkeitswirksamen Angriff auf WideOpenWest (WOW!), einen großen US-amerikanischen Kabel- und Breitbandanbieter, an die Öffentlichkeit trat.
Die Herkunft von Arkana
Arkana ist eine neu identifizierte ransomware , die mit einem aggressiven und öffentlichkeitswirksamen Angriff auf WideOpenWest (WOW!), einen großen US-amerikanischen Kabel- und Breitbandanbieter, an die Öffentlichkeit trat. Obwohl die Gruppe erst vor kurzem aufgetaucht ist, lässt ihre operative Raffinesse darauf schließen, dass sie von erfahrenen Bedrohungsakteuren betrieben wird. Arkana arbeitet mit einem dreistufigen ransomware - Lösegeld, Verkauf und Durchsickern -, dassich auf Erpressung und Nötigungstaktiken konzentriert. Die Sprache, die auf der Onion-Website und in der Kommunikation verwendet wird, deutet auf einen möglichen russischen Ursprung oder eine russische Zugehörigkeit hin, obwohl dies noch nicht abschließend verifiziert werden konnte.
Ihre Strategie ist nicht nur technischer, sondern auch psychologischer Natur. Sie stützt sich auf Beschämungstaktiken und Doxxing von Unternehmen, um den Druck auf die Opfer zu erhöhen. Die Verwendung einer öffentlichen "Wall of Shame" und die Verbreitung von Informationen über entlarvte Führungskräfte durch die Gruppe markiert eine Verlagerung hin zu Angriffen auf den Ruf als Teil ihres Erpressungsplans.
Zielländer von Arkana
Zwar wurden keine weiteren Angriffe öffentlich bekannt gegeben, doch der Angriff von Arkana auf WOW! - ein in den USA ansässiges Unternehmen - zeigt, dass das Unternehmen daran interessiert ist, westliche, insbesondere nordamerikanische Unternehmen ins Visier zu nehmen. Ihre Vorgehensweise lässt darauf schließen, dass sie bereit sind, etablierte Organisationen in stark regulierten Umgebungen anzugreifen.
Zielbranchen von Arkana
Arkana hat es in erster Linie auf die Telekommunikations- und Internetdienstleistungsbranche abgesehen, wie der erste bekannte Angriff auf WideOpenWest beweist. Ihr auf Erpressung ausgerichtetes Modell und ihre Techniken zur Ausnutzung der Infrastruktur lassen jedoch vermuten, dass sie gut positioniert sind, um jede Branche anzugreifen, die große Mengen an personenbezogenen Daten und Finanzdaten speichert und wichtige Backend-Systeme betreibt.
Die Opfer von Arkana
Das einzige bestätigte Opfer ist derzeit WideOpenWest (WOW!). Die Gruppe beanspruchte Zugang zu:
- Über 403.000 Kundenkonten
- Backend-Plattformen wie AppianCloud und Symphonica
- Sensible Finanz- und PII-Daten
- Persönliche Daten von Führungskräften, einschließlich Sozialversicherungsnummern, Adressen und Kontaktinformationen
Dies deutet auf tiefgreifende laterale Bewegungen und einen Schwerpunkt auf privilegierten Backend-Systemenhin - was möglicherweisedie Bereitstellung von ransomware in großem Umfang auf Kundenendgeräten ermöglicht.
Arkanas Angriffstechniken
Dies geschieht wahrscheinlich durch die Ausnutzung von Systemen mit Internetanschluss oder kompromittierten Anmeldeinformationen, möglicherweise über nicht gepatchte Sicherheitslücken oder phishing.
Erhielt erhöhte Berechtigungen innerhalb von Backend-Plattformen wie AppianCloud; nutzte wahrscheinlich plattformspezifische Fehlkonfigurationen oder Authentifizierungsumgehungen aus.
Um eine Entdeckung zu vermeiden, wurde der Zugriff auf die internen Systeme von WOW! über einen längeren Zeitraum aufrechterhalten; möglicherweise wurde die Protokollierung deaktiviert oder die Zugriffsmuster wurden verschleiert.
Zugriff auf eine breite Palette von Anmeldeinformationen, einschließlich Benutzernamen, Kennwörtern und Antworten auf Sicherheitsfragen, die für laterale Bewegungen und Persistenz verwendet werden.
Kartierung interner Dienste und APIs (z. B. Rechnungsstellung, Kundendaten), Identifizierung hochwertiger Ziele wie Symphonica und Appian.
Verteilt über interne Systeme, einschließlich Abrechnungs-APIs, CRM-Systeme und möglicherweise über Symphonica gesteuerte Geräte.
Exfiltrierte riesige Mengen an Daten, einschließlich personenbezogener Daten, Authentifizierungsdaten und Backend-Code aus kundenorientierten Systemen.
Behauptete, dass er in der Lage sei, malware über Symphonica auf Kundengeräte zu übertragen; möglicherweise mit benutzerdefinierten Skripten oder Payloads über Backend-Zugang.
Die Daten wurden wahrscheinlich im Laufe der Zeit extrahiert und für den Erpressungsprozess verwendet, einschließlich der Veröffentlichung von bereinigten Mustern und Screenshots.
Öffentliche Veröffentlichung gestohlener Daten, Doxxing von Führungskräften, Rufschädigung, potenzielle Verbreitung von malware an Endbenutzer.
Dies geschieht wahrscheinlich durch die Ausnutzung von Systemen mit Internetanschluss oder kompromittierten Anmeldeinformationen, möglicherweise über nicht gepatchte Sicherheitslücken oder phishing.
Erhielt erhöhte Berechtigungen innerhalb von Backend-Plattformen wie AppianCloud; nutzte wahrscheinlich plattformspezifische Fehlkonfigurationen oder Authentifizierungsumgehungen aus.
Um eine Entdeckung zu vermeiden, wurde der Zugriff auf die internen Systeme von WOW! über einen längeren Zeitraum aufrechterhalten; möglicherweise wurde die Protokollierung deaktiviert oder die Zugriffsmuster wurden verschleiert.
Zugriff auf eine breite Palette von Anmeldeinformationen, einschließlich Benutzernamen, Kennwörtern und Antworten auf Sicherheitsfragen, die für laterale Bewegungen und Persistenz verwendet werden.
Kartierung interner Dienste und APIs (z. B. Rechnungsstellung, Kundendaten), Identifizierung hochwertiger Ziele wie Symphonica und Appian.
Verteilt über interne Systeme, einschließlich Abrechnungs-APIs, CRM-Systeme und möglicherweise über Symphonica gesteuerte Geräte.
Exfiltrierte riesige Mengen an Daten, einschließlich personenbezogener Daten, Authentifizierungsdaten und Backend-Code aus kundenorientierten Systemen.
Behauptete, dass er in der Lage sei, malware über Symphonica auf Kundengeräte zu übertragen; möglicherweise mit benutzerdefinierten Skripten oder Payloads über Backend-Zugang.
Die Daten wurden wahrscheinlich im Laufe der Zeit extrahiert und für den Erpressungsprozess verwendet, einschließlich der Veröffentlichung von bereinigten Mustern und Screenshots.
Öffentliche Veröffentlichung gestohlener Daten, Doxxing von Führungskräften, Rufschädigung, potenzielle Verbreitung von malware an Endbenutzer.
Von Arkana verwendete TTPs
So erkennen Sie Arkana mit Vectra AI AI
Häufig gestellte Fragen
Was ist Arkana und wie unterscheidet es sich von anderen ransomware ?
Arkana ist eine neu identifizierte ransomware mit einem dreistufigen Erpressungsmodell: Lösegeld, Verkauf und Durchsickern. Sie kombiniert traditionelle ransomware mit aggressivem Doxxing und Reputationsangriffen.
Steht Arkana in Verbindung mit bekannten Cybercrime-Gruppen?
Es gibt keine bestätigten Verbindungen, aber Sprache und Taktik deuten auf einen möglichen russischen Ursprung oder eine Verbindung zu osteuropäischen cyberkriminellen Ökosystemen hin.
Welchen Umfang hatte ihr Angriff auf WOW!?
Arkana behauptet, in die Backend-Infrastruktur eingedrungen zu sein, über 403.000 Kundenkonten exfiltriert und die Kontrolle über Plattformen wie Symphonica und AppianCloud erlangt zu haben.
Wie hat Arkana den ersten Zugang erhalten?
Unbestätigte, aber wahrscheinliche Methoden sind phishingoder das Ausnutzen ungepatchter öffentlicher Systeme.
Welche Arten von Daten wurden gestohlen?
Zu den Daten gehören Benutzernamen, Kennwörter, Sozialversicherungsnummern, Kreditkarteninformationen, Details zu Servicepaketen, Firebase-IDs und E-Mail-Kommunikationspräferenzen.
Hat Arkana tatsächlich ransomware eingesetzt?
Sie agieren als Datenerpressergruppe, behaupten aber auch, dass sie malware auf Kundengeräte übertragen können, was darauf hindeutet, dass der Einsatz von ransomware möglich ist.
Wie können Unternehmen solche Angriffe erkennen und darauf reagieren?
Implementieren Sie Lösungen zur Erkennung von und Reaktion auf Bedrohungen wie Vectra AI. Überwachen Sie auf ungewöhnliche API-Aufrufe, unbefugten Zugriff und abnormale Datenexfiltration. Wenden Sie zero trust und MFA an.
Ist Arkana noch aktiv?
Bis jetzt ist ihre Onion-Site in Betrieb und sie haben nur WOW! als Opfer aufgeführt, aber ihre Infrastruktur lässt auf laufende Aktivitäten und zukünftige Angriffe schließen.
Was sind die rechtlichen Risiken für die Opfer von Arkana?
Die Opfer könnten aufgrund der Art der gestohlenen Daten mit Geldbußen (z. B. HIPAA, GDPR), Klagen von betroffenen Kunden und Sammelklagen konfrontiert werden.
Was kann der Einzelne tun, wenn er betroffen ist?
Kunden von WOW! sollten:
- Aktivieren der Kreditüberwachung
- Passwörter und Sicherheitsfragen ändern
- Überwachung auf phishing und unbefugten Kontozugriff