Trusted

FBI und Europol warnen vor der Akira Bitcoin Ransomware, die Unternehmen bedroht

3 min
Aktualisiert von Julian Brandalise
Trete hier unserer Community auf Telegram bei!

IN KÜRZE

  • Das FBI hat eine Warnung vor der sich entwickelnden Ransomware-Bedrohung Akira herausgegeben.
  • Akira nutzt Schwachstellen aus, deaktiviert Sicherheitssoftware und exfiltriert Daten.
  • Die Gruppe fordert Bitcoin-Zahlungen und droht mit der Weitergabe gestohlener Daten.
  • promo

Das United States Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA), das National Cyber Security Centre (NCSC-NL) der Niederlande und das European Cybercrime Centre (EC3) von Europol haben eine gemeinsame Warnung vor der Ransomware Akira herausgegeben.

Die Gruppe ist seit März 2023 für Angriffe auf über 250 Unternehmen und kritische Infrastrukturen verantwortlich, hauptsächlich in Nordamerika, Europa und Australien.

Entwicklung und Angriffstechniken von Akira

Bis zum 1. Januar 2024 haben die Akira-Bedrohungsakteure schätzungsweise 42 Millionen USD an Lösegeldzahlungen erhalten. Sie zielen auf verschiedene Branchen ab und bereiten Organisationen weltweit große Sorgen.

Ursprünglich in C++ geschrieben, verschlüsselte Akira anfangs Dateien mit der Erweiterung .akira. Es haben sich jedoch verschiedene Varianten entwickelt. Seit August 2023 verwendet die Gruppe die auf Rust basierende Ransomware Megazord, die ihren verschlüsselten Dateien die Erweiterung .powerranges hinzufügt. Bei einigen Angriffen werden nun sowohl Megazord- als auch Akira-Varianten eingesetzt, um die Wirkung zu erhöhen.

Erste Zugriffsmethoden und weitere Angriffstaktiken

Das FBI und Cybersecurity-Forscher haben die ursprünglichen Zugriffsmethoden von Akira zurückverfolgt. Normalerweise nutzen sie bekannte Schwachstellen in Cisco-VPN-Diensten aus, die keine Multifaktor-Authentifizierung vorsehen, verschaffen sich aber auch Zugang über Remote-Desktop-Protokolle, Spear-Phishing und kompromittierte Anmeldedaten.

Nachdem sie in ein Netzwerk eingedrungen sind, erstellen die Akira-Angreifer neue Domänenkonten, um die Persistenz zu gewährleisten. Sie nutzen Tools zum Auslesen von Anmeldeinformationen wie Mimikatz, um ihre Berechtigungen zu erweitern. Für die Systemerkundung und die Identifizierung von Domänencontrollern werden Tools wie SoftPerfect und Advanced IP Scanner sowie native Windows-Befehle verwendet.

Akira-Akteure deaktivieren häufig Sicherheitssoftware, bevor sie sich in kompromittierten Netzwerken fortbewegen. PowerTool wurde dabei beobachtet, wie es Antiviren-Prozesse deaktivierte, um einer Erkennung zu entgehen.

Zum Stehlen sensibler Daten verwenden Akira-Akteure ausgiebig Exfiltrationstools wie FileZilla, WinSCP und Cloud-Speicherdienste. Sie richten Befehls- und Kontrollkanäle mit AnyDesk, RustDesk und Cloudflare Tunnel ein.

Gemäß dem Modell der doppelten Erpressung verschlüsseln die Akira-Akteure die Systeme nach dem Datendiebstahl. Ihre Lösegeldforderung enthält einen eindeutigen Code und eine .onion-URL, über die sie kontaktiert werden können. Sie geben keinen anfänglichen Lösegeldbetrag an, um die Opfer zu Verhandlungen zu zwingen.

Das Lösegeld wird in Bitcoin an Krypto-Wallets gezahlt, die von den Bedrohungsakteuren bereitgestellt werden.

Um zusätzlichen Druck auszuüben, drohen die Akira-Bedrohungsakteure außerdem damit, exfiltrierte Daten im Tor-Netzwerk zu veröffentlichen, und in einigen Fällen haben sie laut FBI-Berichten die betroffenen Unternehmen angerufen.

Das FBI, CISA, EC3 und NCSC-NL haben umfassende Empfehlungen für die System- und Netzwerkentdeckungstechniken der Akira-Bedrohungsakteure herausgegeben. Die Umsetzung dieser Schutzmaßnahmen kann das Risiko eines erfolgreichen Angriffs erheblich verringern.

“Das FBI, CISA, EC3 und NCSC-NL empfehlen neben der Anwendung von Abhilfemaßnahmen, das Sicherheitsprogramm Ihres Unternehmens im Hinblick auf die Bedrohungsverhaltensweisen zu trainieren, zu testen und zu validieren, die in dieser Empfehlung dem MITRE ATT&CK for Enterprise-Framework zugeordnet sind.”

CISA Bericht
Von Ransomware-Angreifern erhaltener Gesamtwert (2019 - 2023).
Von Ransomware-Angreifern erhaltener Gesamtwert (2019 – 2023). Quelle: Chainalysis

Laut einem Chainalysis-Bericht vom Februar 2024 haben Ransomware-Angriffe im Jahr 2023 zugenommen, wobei 1 Milliarde USD von den Opfern erpresst wurde. Dies verdeutlicht die wachsende Cyberbedrohung und die Notwendigkeit für Unternehmen, ihre Cyberabwehr zu verbessern.

🎄Die besten Krypto-Plattformen | Dezember 2024
🎄Die besten Krypto-Plattformen | Dezember 2024
🎄Die besten Krypto-Plattformen | Dezember 2024

Haftungsausschluss

In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.

juli.jpg
Julian Brandalise
Julian Brandalise absolvierte 2009 sein Bachelorstudium in Betriebswirtschaftslehre an der Carl von Ossietzky Universität Oldenburg. Sein ausgeprägtes Interesse an Blockchain und Kryptowährungen führte ihn ab 2014 zu Blockchain-Programmierkursen bei Udacity, mit einem Schwerpunkt auf Solidity. Von 2020 bis 2022 war er als Social Media Manager für den deutschen Bereich bei BeInCrypto tätig und beteiligte sich auch an verschiedenen NFT- und DAO-Projekten. Aktuell leitet er das deutschsprachige...
KOMPLETTE BIOGRAFIE
Gesponsert
Gesponsert