SOC Prime Bias: Hoch

24 Nov. 2025 19:49
newspaper icon AttackIQ

Akira Ransomware: Reaktion auf CISA-Warnung AA24-109A

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Akira Ransomware: Reaktion auf CISA-Warnung AA24-109A
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Akira Ransomware: Reaktion auf CISA-Beratung AA24-109A ZUSAMMENFASSUNG

Die Beratung stellt den Akira Ransomware-Betrieb vor, eine Ransomware-as-a-Service (RaaS) Bedrohung, die sowohl die Daten der Opfer verschlüsselt als auch vor der Verschlüsselung exfiltriert. Erstmals im März 2023 beobachtet, erlangte Akira schnell Bekanntheit und soll Code-Herkunft mit der Conti Ransomware-Familie teilen. Das Dokument beschreibt die Taktiken, Techniken und Verfahren der Gruppe, einschließlich Brute-Force-Angriffen auf RDP, Credential Dumping und der Nutzung eines auf TOR gehosteten Leckportals. Opfer werden typischerweise unter Druck gesetzt, entweder für Entschlüsselungsschlüssel zu zahlen oder für das Versprechen der Löschung gestohlener Daten.

Untersuchung

Eine koordinierte Untersuchung durch CISA, das FBI, NCSC-NL und mehrere europäische Strafverfolgungspartner aktualisierte Akiras Bedrohungsprofil bis November 2025. Technische Erkenntnisse heben die Beharrlichkeit durch die Erstellung neuer lokaler Konten, umfassende Erkundung mit nativen Windows-APIs und die Nutzung von Credential-Diebstahl-Utilities wie Mimikatz, LaZagne und Rubeus hervor. Die Dateiverschlüsselung wird mit dem ChaCha20-Algorithmus implementiert, wobei die Schlüssel mithilfe von RSA-4096 geschützt werden.

Akira Ransomware Minderung

Defensive Prioritäten beinhalten die Durchsetzung starker, einzigartiger RDP-Anmeldeinformationen, die Überwachung ungewöhnlicher Kontoerstellungen und Aktivität der Berechtigungsaufzählung sowie die Sperrung häufig missbrauchter offensiver Werkzeuge. Organisationen sollten regelmäßige, getestete Backups pflegen, nicht wesentliche Dienste deaktivieren und Host-basierte Kontrollen einsetzen, um das Dumping des LSASS-Speichers zu verhindern. Zusätzliche Schutzmaßnahmen umfassen die Filterung von TOR-Verkehr an den Netzwerkrändern und das Verfolgen potenzieller Datenexfiltration zur .onion-Infrastruktur.

Antwort

Wenn Akira-Aktivität vermutet wird, sofort den betroffenen Host isolieren, Speicher- und Festplattenabbilder erfassen und alle relevanten Indikatoren des Kompromisses bewahren. Offengelegte Anmeldeinformationen zurücksetzen, unautorisierte Konten entfernen und Systeme von vertrauenswürdigen, verifizierten Backups wiederherstellen. Eine gründliche forensische Überprüfung sollte laterale Bewegungswege und Drehpunkte aufzeigen, mit Ergebnissen, die den entsprechenden Behörden und Informationsaustauschpartnern gemeldet werden.

mermaid graph TB %% Class Definitions classDef technique fill:#e6f5ff %% Nodes – Techniques tech_bruteforce[„<b>Technique</b> – <b>T1110.004 Brute Force – Credential Stuffing</b><br/><b>Description</b>: Angreifer versucht sich mit einer großen Anzahl zuvor kompromittierter Anmeldedaten über einen entfernten Dienst anzumelden.“] class tech_bruteforce technique tech_rdp[„<b>Technique</b> – <b>T1021.001 Remote Services: RDP</b><br/><b>Description</b>: Verwendung des Remote Desktop Protokolls, um eine interaktive Sitzung aus der Ferne zu etablieren.“] class tech_rdp technique tech_createacct[„<b>Technique</b> – <b>T1136.001 Create Account: Local Account</b><br/><b>Description</b>: Gegner erstellt ein neues lokales Benutzerkonto für Persistenz oder Privilegieneskalation.“] class tech_createacct technique tech_localgroup[„<b>Technique</b> – <b>T1069.001 Ermittlung von Berechtigungsgruppen: Lokale Gruppen</b><br/><b>Description</b>: Lokale Gruppenmitgliedschaften werden aufgelistet, um privilegierte Konten zu identifizieren.“] class tech_localgroup technique tech_domaingroup[„<b>Technique</b> – <b>T1069.002 Ermittlung von Berechtigungsgruppen: Domain-Gruppen</b><br/><b>Description</b>: Domain-Gruppenmitgliedschaften werden aufgelistet, um zusätzliche privilegierte Gruppen zu lokalisieren.“] class tech_domaingroup technique tech_processdisc[„<b>Technique</b> – <b>T1057 Prozessaufdeckung</b><br/><b>Description</b>: Verwendet Dienstprogramme wie tasklist, um laufende Prozesse auf dem Host aufzulisten.“] class tech_processdisc technique tech_remotesysdisc[„<b>Technique</b> – <b>T1018 Ermittlung von Remote-Systemen</b><br/><b>Description</b>: Identifiziert Remote-Systeme, wie beispielsweise Domänencontroller, unter Verwendung von Werkzeugen wie nltest.“] class tech_remotesysdisc technique tech_trustdisc[„<b>Technique</b> – <b>T1482 Domänenvertrauensentdeckung</b><br/><b>Description</b>: Abfragen vertrauenswürdiger Domain-Beziehungen mit nltest trusted_domains.“] class tech_trustdisc technique tech_kerberoast[„<b>Technique</b> – <b>T1558.003 Kerberoasting</b><br/><b>Description</b>: Extrahiert Servicetickets und knackt sie offline, oft mit Werkzeugen wie Rubeus.“] class tech_kerberoast technique tech_lsassdump[„<b>Technique</b> – <b>T1003.001 OS Credential Dumping</b><br/><b>Description</b>: Dumpt LSASS-Speicher über comsvcs.dll und Mimikatz, um Klartextanmeldedaten zu erhalten.“] class tech_lsassdump technique tech_regdump[„<b>Technique</b> – <b>T1003.002 Registrierungshive-Dumping</b><br/><b>Description</b>: Speichert den SYSTEM-Registrierungshive (z.B. unter Verwendung von reg save) zur Offline-Analyse.“] class tech_regdump technique tech_wmiexec[„<b>Technique</b> – <b>T1047 Windows Management Instrumentation</b><br/><b>Description</b>: Führt Befehle remote über WMI aus, häufig mit Dienstprogrammen wie wmiexec.“] class tech_wmiexec technique tech_rdp_lateral[„<b>Technique</b> – <b>T1021.001 Remote Services: RDP (Lateral)</b><br/><b>Description</b>: Bewegt sich seitlich auf zusätzliche Hosts via Remote Desktop Protokoll-Verbindungen.“] class tech_rdp_lateral technique tech_ssh[„<b>Technique</b> – <b>T1021.004 Remote Services: SSH</b><br/><b>Description</b>: Greift auf Secure Shell für seitliche Bewegungen zurück, wenn RDP nicht verfügbar ist.“] class tech_ssh technique tech_sysinfo[„<b>Technique</b> – <b>T1082 Systeminformationen entdecken</b><br/><b>Description</b>: Sammelt Betriebssystem- und Hardwaredetails mit Befehlen wie GetSystemInfo.“] class tech_sysinfo technique tech_queryreg[„<b>Technique</b> – <b>T1012 Registrierung abfragen</b><br/><b>Description</b>: Liest Registrierungswerte wie MachineGUID, um den Host eindeutig zu identifizieren.“] class tech_queryreg technique tech_filedisc[„<b>Technique</b> – <b>T1083 Datei- und Verzeichnisermittlung</b><br/><b>Description</b>: Listen von Dateien und Verzeichnissen mithilfe der FindFirstFile/FindNextFile-API-Aufrufe.“] class tech_filedisc technique tech_logdrive[„<b>Technique</b> – <b>T1680 Logisches Laufwerk entdecken</b><br/><b>Description</b>: Ruft logische Laufwerksbuchstaben und -typen über GetLogicalDriveStringsW und GetDriveTypeW ab.“] class tech_logdrive technique tech_permmod[„<b>Technique</b> – <b>T1222.001 Datei- und Verzeichnisberechtigungen ändern</b><br/><b>Description</b>: Ändert ACLs auf Dateien oder Verzeichnissen mithilfe von icacls, um weiteren Zugriff zu ermöglichen.“] class tech_permmod technique tech_inhibitrec[„<b>Technique</b> – <b>T1490 Systemwiederherstellung verhindern</b><br/><b>Description</b>: Löscht Volume Shadow Copies durch WMI, um die Wiederherstellung zu verhindern.“] class tech_inhibitrec technique tech_encrypt[„<b>Technique</b> – <b>T1486 Daten für Wirkung verschlüsseln</b><br/><b>Description</b>: Verschlüsselt Daten des Opfers mithilfe der symmetrischen Verschlüsselung ChaCha20 und RSA‑4096 zum Schutz des Schlüssels.“] class tech_encrypt technique %% Connections – Angriffsfluss tech_bruteforce u002du002d>|führt zu| tech_rdp tech_rdp u002du002d>|führt zu| tech_createacct tech_createacct u002du002d>|führt zu| tech_localgroup tech_localgroup u002du002d>|führt zu| tech_domaingroup tech_domaingroup u002du002d>|führt zu| tech_processdisc tech_processdisc u002du002d>|führt zu| tech_remotesysdisc tech_remotesysdisc u002du002d>|führt zu| tech_trustdisc tech_trustdisc u002du002d>|führt zu| tech_kerberoast tech_kerberoast u002du002d>|führt zu| tech_lsassdump tech_lsassdump u002du002d>|führt zu| tech_regdump tech_regdump u002du002d>|führt zu| tech_wmiexec tech_wmiexec u002du002d>|führt zu| tech_rdp_lateral tech_rdp_lateral u002du002d>|führt zu| tech_ssh tech_ssh u002du002d>|führt zu| tech_sysinfo tech_sysinfo u002du002d>|führt zu| tech_queryreg tech_queryreg u002du002d>|führt zu| tech_filedisc tech_filedisc u002du002d>|führt zu| tech_logdrive tech_logdrive u002du002d>|führt zu| tech_permmod tech_permmod u002du002d>|führt zu| tech_inhibitrec tech_inhibitrec u002du002d>|führt zu| tech_encrypt

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorflug-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählung spiegeln direkt die identifizierten TTPs wider und erzeugen die exakte Telemetrie, die von der Detektionslogik erwartet wird.

  • Angriffs- und Befehlsnarrativ:
    Der Ransomware-Betreiber bereitet die Verschlüsselung eines Benutzerverzeichnisses vor. Zuerst stellen sie sicher, dass die Dateien für den Ransomware-Prozess vollständig zugänglich sind, indem sieJedemvollen Zugriff gewähren, indem sieicacls.exeverwenden. Dies ist ein klassischer „Vollzugriff-gewähren-vor-Verschlüsselung“-Schritt, der der MITRE-TechnikT1222.001entspricht. Der Angreifer führt den Befehl aus einem niedrig privilegierten Kontext aus, verlässt sich jedoch auf die Tatsache, dassicacls.exedie ACLs ändern kann, wenn der Prozess über ausreichende Berechtigungen verfügt (z.B. als SYSTEM mittels eines geplanten Tasks läuft).

    # Pfad zum Zielverzeichnis
$target = "C:UsersPublicDocumentsSensitiveData"

# Rekursivem Vollzugriff für Jedem gewähren
icacls.exe "$target*" /grant *S-1-1-0:F /T /C

    Der obige Befehl erzeugt ein Sysmon ProcessCreate-Ereignis, bei dem dasBildmiticacls.exeendet und damit die Erkennungsregel erfüllt.

  • Regressionstest-Script:

    # ---------------------------------------------------------------
# Regressions-Test – Icacls Berechtigungsänderung (T1222.001)
# ---------------------------------------------------------------
# Erstelle ein temporäres Testverzeichnis
$testDir = "$env:TEMPIcaclsTest"
New-Item -Path $testDir -ItemType Directory -Force | Out-Null

# Mit Dummy-Dateien füllen
1..5 | ForEach-Object {
    New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null
}

# Icacls ausführen, um Jedem Vollzugriff zu gewähren (das sollte die Regel auslösen)
icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C

# Pause, um SIEM-Aufnahme zu ermöglichen
Start-Sleep -Seconds 10

# Ende des Script

  • Aufräumbefehl:

    # ---------------------------------------------------------------
# Aufräumen – Test-ACL-Änderungen entfernen und Testdaten löschen
# ---------------------------------------------------------------
$testDir = "$env:TEMPIcaclsTest"

# Berechtigungen auf die Standardwerte zurücksetzen (den Jedem-Eintrag entfernen)
icacls.exe "$testDir*" /reset /T /C

# Testverzeichnis löschen
Remove-Item -Path $testDir -Recurse -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten