Nach Conti: Akira Ransomware entwickelt sich zur nächsten, großen Cybergefahr für KMU

Cyber-Betrug
LinkedInXingPocketWhatsAppFlipboard

Update Fr, 10. November 2023: Die aufstrebende Hackergruppe Akira Ransomware hat wieder zugeschlagen: Das Kollektiv ist verantwortlich für den Angriff auf die Südwestfalen-IT. Aber wer genau steckt dahinter?

Das hochqualifizierte Hackerkollektiv Akira hat den Cyberangriff auf die Südwestfalen-IT durchgeführt, wie jetzt bekannt wurde. Infolgedessen sind zahlreiche lokale Verwaltungen in ihrer Arbeitsfähigkeit stark eingeschränkt. Die Gruppe hat Daten auf den Servern der betroffenen Einrichtungen verschlüsselt und verlangt nun eine beträchtliche Summe als Lösegeld. Die betroffenen Kommunalverwaltungen lehnen es jedoch ab, auf diese Forderungen einzugehen. Sie konzentrieren sich stattdessen darauf, die Server wiederherzustellen und alternative Lösungen zu entwickeln.

Anzeige

Ausnutzung einer Sicherheitslücke

Seit ihrem Auftreten im März hat die Hackergruppe eigenen Angaben zufolge, bereits 63 Unternehmen im Darknet angegriffen und gilt als eine der weltweit gefährlichsten Cyber-Bedrohungen.

Akira zielt vornehmlich auf Server-Systeme ab, die nicht durch eine Zwei-Faktor-Authentifizierung geschützt sind – eine Sicherheitsmaßnahme, die auch im Online-Banking Anwendung findet. Diese Schwachstelle nutzen sie, um gespeicherte Daten zu verschlüsseln und fordern im Gegenzug für deren Entschlüsselung hohe Lösegelder.

Wer oder was ist Akira Ransomware?

Akira ist eine relativ neue, schnell wachsende Ransomware-Gruppe, die erstmals im März 2023 beobachtet wurde und das Ransomware-as-a-Service (RaaS)-Modell nutzt. RaaS sind Service- und Tool-Angebote rund um Ransomware, mit denen auch relativ unerfahrene Cyberkriminelle „gute“ Erfolge erzielen können. Ähnlich wie andere bekannte RaaS-Gruppen dringt Akira in IT-Systeme von Unternehmen ein, exfiltriert Daten und verschlüsselt Anwendungen, um Lösegeld zu erpressen. Wird das geforderte Ransom nicht gezahlt, werden der Name und die Daten des Opfers auf der Leak-Seite von Akira veröffentlicht. Laut dieser Site hat die kriminelle Vereinigung seit ihrer Gründung mindestens 63 Organisationen kompromittiert, wobei etwa 80 Prozent der Opferunternehmen kleine und mittelständische Unternehmen (KMU) sind.

Das alles erinnert verdächtig an die berüchtigte Ransomware-Gruppe Conti. So ignoriert Akira die gleichen Dateitypen und Verzeichnisse wie Conti Ransomware und verfügt über ähnliche Funktionen. Zudem verwendet der „neue“ Stern am Cybercrime-Himmel auch den ChaCha-Algorithmus zum Verschlüsseln von Dateien.

„Durch die Verfolgung von Transaktionen, die während der Blockchain-Analyse entdeckt wurden, können wir einzelne Gruppen mit höherer Zuverlässigkeit miteinander in Verbindung bringen, basierend auf Transaktionen zu und von bekannten von Bedrohungsakteuren kontrollierten Kryptowährungsadressen“, so Daniel Thanos, Head of Arctic Wolf Labs. „Die Verfolgung von Lösegeldzahlungen an Akira ermöglichte es Arctic Wolf Labs, Transaktionen an Conti-zugeordnete Adressen zu identifizieren. Dieselbe Analysemethode ermöglichte es unserem Team, Verbindungen zwischen der Erpressergruppe Karakurt, Diavol und der Ransomware-Gruppe Conti im Jahr 2022 zu identifizieren.“

Thanos erläutert zudem: „Wir schätzen, dass Akira aufgrund seiner Viktimologie und Verhandlungstaktik wahrscheinlich eine opportunistische Ransomware-Gruppe ist. In fast allen von Arctic Wolf untersuchten Fällen gaben die Bedrohungsakteure an, dass sie Zeit brauchen, um die exfiltrierten Daten zu überprüfen und eine Lösegeldforderung zu stellen.“

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Abwehr und Schutzmaßnahmen

Aber wie können sich Unternehmen am besten gegen die Attacken der Akira Ransomware-Gruppe schützen, sei sie nun mit Conti im Bunde oder nicht? Zunächst gilt es, bei einem erfolgen Ransomware-Angriff, besonnen zu agieren und die relevanten Behörden umgehend zu informieren. Weiterhin müssen die Situation analysiert und dann die notwendigen Gegenmaßnahmen eingeleitet werden. Fehlen adäquate interne Ressourcen in einer solchen Ausnahmesituation, können Unternehmen auf die professionelle Hilfe von externen Security-Dienstleistern wie Arctic Wolf zurückgreifen, die sowohl das Skillset, die Manpower und die geeigneten Tools haben, um angemessen zu reagieren und den Schaden möglichst zu minimieren.

Fazit: Die böse Saat gedeiht im Cyberspace, Abhilfe schaffen umfassende Schutzmaßnahmen

Obwohl sich Conti aufgrund des zunehmenden Drucks, interner Konflikte und der Veröffentlichung des Quellcodes auflöste, richten viele der Conti-Mitglieder im Jahr 2023 durch ihre Aktivitäten mit anderen RaaS-Gruppen, einschließlich Akira, weiterhin Schaden in Unternehmen an. Akira entwickelt sich weiter und wächst als Ransomware-Gruppe, indem sie ihre Taktiken ändert und so ihrer Aufdeckung entgeht. Bewährte Sicherheitsprozesse, wie die Aktivierung von MFA auf VPN-Appliances, können die Wahrscheinlichkeit einer erfolgreichen Kompromittierung durch Akira erheblich einschränken, genau wie regelmäßige System-Patches und -Updates im Rahmen einer eine umfassenden Cybersicherheitsstrategie.

www.arcticwolf.com


Anzeige

Artikel zu diesem Thema

cybercrime
20. Juli 2023
Wie haben sich Ransomware-Gefahren im Laufe der Zeit entwickelt?
Security Schlüssel
19. Juli 2023
EU-Länder einigen sich auf Schutz digitaler Geräte vor Cyberangriffen
17. Juli 2023
Ohne PAM sind KMUs anfällig für Angriffe
Handshake
15. Juni 2023
Künstliche Intelligenz soll Polizei bei Gefahrenabwehr helfen

Weitere Artikel

Cybercrime
CrushFTP: Schwachstelle ermöglicht Datenabfluss
Cybercrime
Spionage und Datenklau gibt es offensichtlich immer und überall
Cybercrime
KI vs. KI: Wie Künstliche Intelligenz hilft, KI-generierte BEC-Angriffe abzuwehren
Cybercrime
Unternehmen haben Schwierigkeiten beim Managen von Cyber-Risiken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.