Akira Ransomware-Gruppe im Aufstieg: Hacker zielen auf die Luftfahrtindustrie in LATAM ab

[post-views]
Juli 26, 2024 · 4 min zu lesen
Akira Ransomware-Gruppe im Aufstieg: Hacker zielen auf die Luftfahrtindustrie in LATAM ab

Cybersecurity-Forscher haben kürzlich einen neuen Cyberangriff auf eine lateinamerikanische Fluggesellschaft beobachtet, der auf Akira-Ransomwarezurückgreift. Die Angreifer nutzten das SSH-Protokoll für den ersten Zugriff und hielten Aufklärung und Persistenz aufrecht, indem sie legitime Werkzeuge und Living off-the-Land Binaries and Scripts (LOLBAS)einsetzten. Bemerkenswerterweise gelang es den Hackern, bevor sie die Ransomware einsetzten, kritische Daten erfolgreich zu exfiltrieren.

Erkennung von Akira-Ransomware-Angriffen

Die Cybersecurity-Community steht vor einer großen Herausforderung, die durch die eskalierende Bedrohung durch hochkarätige Ransomware-Gruppen verursacht wird. Laut dem 2024 Q1 Ransomware Report von Corvus Insurancehaben die globalen Ransomware-Angriffe einen beispiellosen Rekord aufgestellt und 2022 um fast 70 % übertroffen.

Die Akira-Ransomware-Gruppe war im letzten Jahr eine der aktivsten Kollektive und teilt sich den Spitzenplatz mit LockBit, BlackCat, Clop und anderen berüchtigten Akteuren. Die neuesten Nachrichten berichten, dass Akira hinter dem Angriff auf die große LATAM-Fluggesellschaft steht sowie hinter dem Ausfall am Flughafen Split in Kroatien und Kampagnen gegen mehrere große Unternehmen in den USA.

Um Cyberverteidiger dabei zu unterstützen, bei den mit der Akira-Ransomware verbundenen Einbrüchen auf dem Laufenden zu bleiben, bietet die SOC Prime Platform für kollektive Cyberverteidigung eine Reihe kuratierter Inhalte, die die angewandten TTPs behandeln, während des LATAM-Fluglinie-Angriffs. Klicken Sie einfach auf die TasteErkundungen zu Erkennungenunten, um sofort zu einer dedizierten Inhaltsliste zu gelangen.

Erkundungen zu Erkennungen

Alle Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel und auf das MITRE ATT&CK®-Frameworkabgebildet. Zusätzlich sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich CTI-Referenzen, Angriffsschemata und Triage-Empfehlungen, um die Bedrohungsuntersuchung zu erleichtern.

Cyberverteidiger, die nach weiteren Erkennungsinhalten zu Akiras Angriffsmustern suchen, können den Threat Detection Marketplace mit einem benutzerdefinierten „Akira“-Tag durchsuchen oder einfach diesen Link nutzen, um auf eine breite Sammlung relevanter Sigma-Regeln zuzugreifen, die mit der bösartigen Aktivität der Gruppe verbunden sind.

Beschreibung der Akira-Ransomware-Kampagne

Laut der Untersuchung des BlackBerry Research and Intelligence Teams haben die Akira-Ransomware-Wartungsarbeiter einen ausgeklügelten Ansatz genutzt, um Zugang zur Infrastruktur der LATAM-Fluggesellschaft zu erlangen, sensible Daten zu exfiltrieren und die Akira-Nutzlast im infizierten Netzwerk abzuwerfen.

Angreifer erhielten ersten Netzwerkzugang über das SSH-Protokoll und exfiltrierten erfolgreich kritische Daten, bevor sie am nächsten Tag das Akira-Ransomware-Muster einsetzten. Während der Infektionskette nutzten Angreifer mehrere legitime Werkzeuge, darunter LOLBAS, die ihnen grünes Licht für Aufklärung und Persistenz in der kompromittierten Umgebung gaben.

Nach erfolgreicher Datenexfiltration setzten die Angreifer Ransomware ein, um die Systeme des Opfers zu verschlüsseln und zu deaktivieren. Neben der primären Fokussierung auf Windows-Systeme verlassen sich Akira-Ransomware-Mitglieder auch auf Linux-Varianten, einschließlich der für VMware ESXi-Virtualisierung. Im neuesten Angriff könnten die Akira-Ransomware-Wartungsarbeiter aufgrund von Indikatoren wie DNS-Anfragen zu einem mit Remmina verknüpften Domain, einem Open-Source-Remote-Desktop-Client, mit Linux-basierten Benutzern in Verbindung stehen. In dieser Offensive, die sich gegen eine lateinamerikanische Fluggesellschaft richtet, nutzten Angreifer einen ungepatchten Veeam-Backup-Server aus, indem sie eine CVE-2023-27532-Schwachstelle ausnutzten. In vorherigen Angriffen infiltrierten Akira-Operatoren Systeme durch den Missbrauch anderer Schwachstellen und Zero-Day-Lücken, einschließlich CVE-2020-3259 und CVE-2023-20269.

Akira ist seit Anfang Frühling 2023 aktiv und operiert als RaaS, genutzt von der berüchtigten Hackergruppe Storm-1567 (auch bekannt als Punk Spider und GOLD SAHARA). Die Gruppe ist für die Entwicklung und Wartung der Akira-Ransomware sowie der dedizierten Leak-Sites verantwortlich.

Akira-Ransomware-Wartungsarbeiter verwenden häufig Doppel-Erpressungstaktiken, exfiltrieren sensible Daten, bevor sie Ransomware einsetzen, wobei der neueste Angriff demselben Verhaltensmuster folgt. Diese Strategie setzt Opfer unter Druck, schnell zu zahlen, da sie das Risiko eingehen, dass ihre gestohlenen Daten öffentlich bekannt werden.

Wichtige TTPs, die mit Akira-Ransomware verbunden sind, umfassen den Missbrauch von legitimer Software wie Open-Source-Penetrationstests-Tools und die Ausnutzung von Schwachstellen in veralteten oder ungepatchten Systemen, einschließlich VPN-Software. Die Akira-Gruppe hat verschiedene Industriezweige angegriffen, darunter Unternehmen und kritische Infrastrukturen weltweit. Im April 2024 haben das FBI und die CISA gemeinsam mit führenden Cybersecurity-Behörden ein gemeinsames CSA herausgegeben, um bekannte IOCs und TTPs zu verteilen, die mit denzunehmenden Angriffen durch Akira-Ransomware-Wartungsarbeiter verbunden sind, zusammen mit Empfehlungen und Minderungsmaßnahmen zur Minimierung der Risiken von Einbrüchen.ize the risks of intrusions. 

Die anhaltende Eskalation von Ransomware Bedrohungen stellt Cybersecurity-Verteidiger kontinuierlich vor neue Angriffstechniken und bösartige Taktiken und erhöht die Notwendigkeit für fortschrittliche Bedrohungserkennungs- und Jagdwerkzeuge, um potenzielle Einbrüche proaktiv zu bekämpfen. Der Angriff auf eine lateinamerikanische Fluggesellschaft, der mit den finanziell motivierten Akira-Ransomware-Wartungsarbeitern in Verbindung steht, unterstreicht die Bereitschaft der Gegner, Organisationen in verschiedenen Regionen anzugreifen, insbesondere solche mit ungepatchten Schwachstellen, was globale Organisationen dazu ermutigt, nach innovativen Wegen zu suchen, um ihre Cybersecurity-Position mit kollektiver Branchenexpertise zu stärken. Die vollständige Produktpalette von SOC Prime für KI-gestütztes Detection Engineering, automatisierte Bedrohungsjagd und Validierung des Detection-Stacks bietet Sicherheitsteams eine praktikable Lösung, die kollektive Cyberverteidigung gegen Cyberangriffe jeder Größe und Komplexität ermöglicht.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko