Akira-Ransomware-Erkennung: Gemeinsamer Cybersicherheits-Bericht (CSA) AA24-109A hebt Angriffe auf Unternehmen und kritische Infrastrukturen in Nordamerika, Europa und Australien hervor
Inhaltsverzeichnis:
Das FBI und die CISA haben in Zusammenarbeit mit den USA und führenden internationalen Cybersicherheitsbehörden kürzlich eine gemeinsame Warnung AA24-109A herausgegeben, die Verteidiger vor einem Anstieg von Cyberangriffen mit Akira-Ransomware warnt. Laut Untersuchungen haben damit verbundene bösartige Kampagnen mehr als 250 Organisationen betroffen und etwa 42 Millionen US-Dollar an Lösegeldzahlungen gefordert.
Erkennen von Akira-Ransomware-Angriffen
Steigende Ransomware Bedrohungen stellen Cyberverteidiger kontinuierlich vor neue Angriffsmethoden und bösartige Tricks, was die Nachfrage nach fortschrittlichen Bedrohungserkennungs- und Jagdwerkzeugen steigert, um potenzielle Eindringlinge proaktiv abzuwehren. Die Plattform von SOC Prime stattet Sicherheitsteams mit einer kompletten Produktpalette für KI-gestütztes Detection Engineering, automatisierte Bedrohungsjagd und Validierung der Erkennungsstapel aus, um die Cyberverteidigung zu verstärken und sicherzustellen, dass kein Cyberangriff unentdeckt bleibt.
Da die Akira-Ransomware im Aufschwung ist, könnten Sicherheitsfachleute einen kuratierten Sigma-Regelstapel erkunden, der hilft, die Bedrohungsermittlungsuntersuchung zu beschleunigen. Alle Regeln sind mit 28 SIEM-, EDR- und Data-Lake-Technologien kompatibel und mit dem MITRE ATT&CK®-Frameworkabgestimmt. Darüber hinaus ist jeder Erkennungsalgorithmus mit relevanten Bedrohungsinformationen und umfangreichen Metadaten angereichert, um zusätzlichen Kontext bereitzustellen. Einfach auf den Erkennung erkunden Knopf unten drücken und sofort zu einer dedizierten Inhaltsliste wechseln.
Auch könnten Sicherheitsfachleute nach relevanten Erkennungen direkt auf der SOC Prime-Plattform unter Verwendung der Tags „AA24-109A“ und „Akira-Ransomware“ suchen.
Analyse der Akira-Ransomware-Angriffe
Am 18. April 2024 gaben das FBI, die CISA und globale Partner eine kollaborative Cybersecurity Advisory (CSA) heraus, um bekannte IOCs und TTPs zu informieren und zu verteilen, die mit den zunehmenden Angriffen der Akira-Ransomware-Betreiber in Verbindung stehen. Diese Informationen stammen aus FBI-Untersuchungen und glaubwürdigen Drittquellen, mit Aktualisierungen, die so aktuell wie Februar 2024 sind.
Seit dem frühen Frühjahr 2023 hat die Akira-Ransomware mehrere Unternehmen getroffen, darunter den Sektor der kritischen Infrastrukturen in den USA, Europa und Australien, wobei mehr als 250 Organisationen betroffen sind. Die Angreifer setzten eine Linux-Version ein, die auf VMware ESXi-VMs abzielt, nachdem zunächst Windows-Systeme betroffen waren. Während die frühen Varianten der Akira-Ransomware im C++-Programmiersprache kodiert waren und auf .akira-Erweiterungen basierten, entwickelten die Akira-Drohungsakteure im späten Sommer 2023 ihr Angriffswerkzeug mit einer rust-basierten Variante namens Megazord weiter, die Datei-Verschlüsselung auf einer .powerranges-Erweiterung verwendet.
Um initialen Zugang zu den Zielsystemen zu erlangen, nutzen die Akira-Ransomware-Betreiber häufig Sicherheitslücken in VPN-Diensten aus, die keine MFA-Konfigurationen haben, wobei vor allem bekannte Cisco-Schwachstellen, CVE-2020-3259 und CVE-2023-20269, ausgenutzt werden. Andere anfängliche Zugriffsmöglichkeiten beinhalten die Ausnutzung von externen Diensten wie RDP, Spear-Phishing-Angriffe und den Missbrauch legitimer Anmeldedaten.
Darüber hinaus neigen Akira-Bedrohungsakteure dazu, Domänencontroller zu nutzen, indem sie neue Domänenkonten für die Beständigkeit erstellen. Sie nutzen auch Angriffstechniken nach der Ausnutzung wie Kerberoasting, um Anmeldedaten aus dem LSASS-Speicher zu extrahieren, und verwenden Anmeldedaten-Abschirmungstools wie Mimikatz und LaZagne zur Privilegieneskalation. Zudem setzen die Angreifer Hilfsprogramme wie SoftPerfect und Advanced IP Scanner zur Netzwerkgeräteerkennung ein, während net Windows-Befehle verwendet werden, um Domänencontroller zu identifizieren und Informationen über Domänenvertrauensbeziehungen zu sammeln.
Akira-Angriffe wurden zudem dadurch gekennzeichnet, dass zwei separate Ransomware-Varianten bei einem einzigen Eindringen auf unterschiedliche Systemarchitekturen abzielen, was einen Wandel gegenüber den zuletzt beobachteten bösartigen Aktivitäten darstellt. Zunächst setzten die Akira-Angreifer die Windows-basierte Megazord-Ransomware ein und führten gleichzeitig eine zweite Nutzlast ein, die als neue Akira-ESXi-Verschlüssler-Variante „Akira_v2“ bezeichnet wird. Um die seitliche Bewegung zu erleichtern, deaktivieren die Angreifer Sicherheitssoftware zur Erkennungsevasion. Es wurde auch beobachtet, dass sie das PowerTool zum Ausnutzen des Zemana AntiMalware-Treibers einsetzen und Anti-Malware-Prozesse behindern.
In Bezug auf das Bedrohungsarsenal, das Exfiltration und Auswirkungen erleichtert, setzen die Betreiber der Akira-Ransomware FileZilla, WinRAR, WinSCP und RClone ein, um Daten aus dem kompromittierten System zu stehlen und nutzen einen Satz von Hilfsprogrammen wie AnyDesk, MobaXterm, RustDesk oder Ngrok, um C2-Kanäle zu etablieren. Zudem wenden die Angreifer ein Doppelauspressungsmodell an, indem sie Systeme nach der Datenexfiltration verschlüsseln. Akira-Angreifer fordern häufig Lösegeldzahlungen in Bitcoin an Kryptowallet-Adressen und drohen zudem, die gestohlenen Daten im Tor-Netzwerk zu veröffentlichen.
Um die Risiken durch Akira-Angriffe zu minimieren, wird Organisationen dringend empfohlen, mehrere Sicherheitsschutzschichten zu implementieren, einschließlich Netzwerkssegmentierung, Anwendung von Mehrfaktor-Authentifizierung, regelmäßiger Patching, kontinuierlichem Monitoring auf verdächtige Aktivitäten und Beibehaltung von Offline-Backups.
Die steigende Anzahl von Ransomware-Angriffen, gekoppelt mit ihrer zunehmenden Raffinesse und kontinuierlich erweiterten Angriffswerkzeugen, unterstreicht die Notwendigkeit, die Exposition von Organisationen gegenüber solchen Bedrohungen zu minimieren, indem eine proaktive Cyberverteidigungsstrategie implementiert wird. Die Nutzung von SOC Primes Attack Detective ermöglicht es Verteidigern, sich auf automatisierte Validierung der Detektionsstruktur zu verlassen, um in Echtzeit Sichtbarkeit der Angriffsfläche zu gewinnen, rechtzeitig blinde Flecken in der Abdeckung zu identifizieren und zu beheben und Verstöße zu finden, bevor Angreifer zuschlagen können.
