Akira-Ransomware mutiert, um Linux-Systeme anzugreifen

Seit sich die Ransomware Arika im März als Bedrohung herausgestellt hat, hat sie sich weiterentwickelt. Sie hat ihre Reichweite von ursprünglich auf Windows-Systeme ausgerichteten Systemen auf Linux-Server ausgeweitet und setzt immer mehr Taktiken, Techniken und Verfahren (TTPs) ein.

Ein ausführlicher Bericht auf Akira von LogPoint schlüsselt die „hochentwickelte“ Ransomware auf, die Opferdateien verschlüsselt, Schattenkopien löscht und Lösegeld für die Datenwiederherstellung verlangt.

Die Infektionskette zielt aktiv auf Cisco ASA VPNs ab, denen die Multifaktor-Authentifizierung fehlt, um das auszunutzen CVE-2023-20269 Verletzlichkeit als Einstiegspunkt.

Bis Anfang September hatte die Gruppe erfolgreich 110 Opfer angegriffen, wobei der Schwerpunkt auf Zielen in den USA und im Vereinigten Königreich lag.

Das britische Qualitätssicherungsunternehmen Intertek war kürzlich ein bekanntes Opfer. Die Gruppe hat auch Unternehmen aus den Bereichen Fertigung, professionelle Dienstleistungen und Automobilindustrie ins Visier genommen.

Laut einer aktuellen GRI von GuidePoint Security berichtenBildungsorganisationen wurden von Akira überproportional stark ins Visier genommen und repräsentieren acht der 36 beobachteten Opfer.

Die Ransomware-Kampagne umfasst mehrere Malware-Beispiele, die bei der Ausführung verschiedene Schritte ausführen, darunter das Löschen von Schattenkopien, die Dateisuche, die Aufzählung und die Verschlüsselung.

Akira nutzt eine Methode der doppelten Erpressung, indem er persönliche Daten stiehlt, diese verschlüsselt und dann Geld von den Opfern erpresst. Sollten sie die Zahlung verweigern, droht die Gruppe mit der Veröffentlichung der Daten im Dark Web.

Nach dem Zugriff nutzt die Gruppe Tools wie die Remote-Desktop-Apps AnyDesk und RustDesk sowie das Verschlüsselungs- und Archivierungstool WinRAR.

Das fortschrittliche Systeminformationstool und Task-Manager PC Hunter unterstützt die Gruppe zusammen mit wmiexc dabei, sich seitlich durch die angegriffenen Systeme zu bewegen, heißt es in dem Bericht.

Die Gruppe kann auch die Echtzeitüberwachung deaktivieren, um der Erkennung durch Windows Defender zu entgehen, und Schattenkopien werden über PowerShell gelöscht.

Lösegeldscheindateien werden in mehreren Dateien im System des Opfers abgelegt, die Zahlungsanweisungen und Entschlüsselungshilfen enthalten.

Anish Bogati, Sicherheitsforschungsingenieur bei Logpoint, sagt, dass Akiras Verwendung der internen Windows-Binärdatei (auch bekannt als LOLBAS) zur Ausführung, zum Abrufen von Anmeldeinformationen, zum Umgehen von Verteidigungsmaßnahmen, zur Erleichterung seitlicher Bewegungen und zum Löschen von Backups und Schattenkopien die TTP der Gruppe am meisten besorgniserregend ist.

„Interne Windows-Binärdateien werden normalerweise nicht vom Endpoint Protection überwacht und sind bereits im System vorhanden, sodass Angreifer sie nicht in das System herunterladen müssen“, erklärt er.

Bogati fügt hinzu, dass die Möglichkeit zum Erstellen einer Aufgabenkonfiguration (Speicherort der zu verschlüsselnden Dateien oder Ordner, Bestimmung des Prozentsatzes der zu verschlüsselnden Daten) nicht übersehen werden darf, da die Konfiguration automatisch und ohne manuellen Eingriff eingerichtet wird.

Gegenmaßnahmen ergreifen

„Die Entwicklung mehrerer Malware-Varianten und ihrer Fähigkeiten lässt darauf schließen, dass sich die Bedrohungsakteure schnell an Trends anpassen“, stellt Bogati fest. „Die Akira-Gruppe ist sehr erfahren und mit Verteidigungsfähigkeiten bestens vertraut, da sie Windows-interne Binär-, API- und legitime Software missbraucht.“

Er empfiehlt Unternehmen, MFA zu implementieren und Berechtigungen einzuschränken, um Brute-Force-Angriffe auf Anmeldeinformationen zu verhindern. Außerdem empfiehlt er, Software und Systeme auf dem neuesten Stand zu halten, um Angreifern einen Schritt voraus zu sein, die ständig neu entdeckte Schwachstellen ausnutzen.

Zu den weiteren im Bericht enthaltenen Empfehlungen gehörten die Prüfung privilegierter Konten und regelmäßige Schulungen zum Sicherheitsbewusstsein.

Der Bericht empfiehlt außerdem eine Netzwerksegmentierung, um kritische Systeme und sensible Daten zu isolieren, das Risiko von Sicherheitsverletzungen zu verringern und die seitliche Bewegung von Angreifern einzuschränken.

Laut Bogati sollten Unternehmen auch darüber nachdenken, nicht autorisierte Tunnel- und Fernzugriffstools wie Cloudflare ZeroTrust, ZeroTier und TailScale zu blockieren, die seiner Meinung nach häufig von Angreifern verwendet werden, um heimlich auf kompromittierte Netzwerke zuzugreifen.

Ransomware-Landschaft von neuen Akteuren geprägt

Die Bande, benannt nach einem japanischen Anime-Kultklassiker aus dem Jahr 1988 mit einem psychopathischen Biker, entwickelte sich im April dieses Jahres zu einer Cyberkriminalität, mit der man rechnen muss, und ist es auch vor allem für Angriffe auf Windows-Systeme bekannt.

Der Wechsel von Akira in Linux-Unternehmensumgebungen folgt einem Schritt anderer, etablierterer Ransomware – wie z Cl0p, Königsblau und IceFire Ransomware-Gruppen – um dasselbe zu tun.

Akira gehört zu einer neuen Generation von Ransomware-Akteuren, die der Bedrohungslandschaft neuen Schwung verliehen haben. Sie ist durch das Aufkommen kleinerer Gruppen und neuer Taktiken gekennzeichnet, während etablierte Banden wie LockBit weniger Opfer sehen.

Zu den neueren Ransomware-Gruppen gehören 8Base, Malas, Rancoz und BlackSuit, jede mit ihren eigenen Merkmalen und Zielen.

„Wenn man sich die Zahl der Opfer ansieht, wird Akira wahrscheinlich zu einem der aktivsten Bedrohungsakteure“, warnt Bogati. „Sie entwickeln mehrere Varianten ihrer Malware mit unterschiedlichen Fähigkeiten und werden keine Gelegenheit verpassen, ungepatchte Systeme auszunutzen.“

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/attacks-breaches/akira-ransomware-mutates-to-target-linux-systems-adds-ttps

Generative Datenintelligenz

Akira-Ransomware mutiert und zielt auf Linux-Systeme ab

Gegenmaßnahmen ergreifen

Ransomware-Landschaft von neuen Akteuren geprägt

Neue finanzielle Grenzen: Hongkongs ETF-Expansion, Krypto-Ventures und der globale Regulierungstanz

Hongkongs ETF-Marktboom: Navigieren zu Kryptowährungsinnovationen und globalen Finanztrends

Neueste Intelligenz

Von Blockchain zu ETFs: Navigieren durch Hongkongs Finanzentwicklung und die globale Krypto-Grenze

Neue Trends im Finanzwesen: Hongkongs ETF-Marktexpansion, Kryptowährungsinnovationen und globale Regulierungsdynamik

Navigieren in der sich entwickelnden Landschaft: Hongkongs ETF-Expansion, Kryptomarktdynamik und globale regulatorische Veränderungen

Hongkong steigt im globalen ETF-Bereich auf, während Biden den Verbraucherschutz für Kryptowährungen anstrebt: Ein Einblick in die sich entwickelnde Fintech-Landschaft

Hongkong stärkt ETF-Marktpräsenz inmitten globaler Krypto-Veränderungen und regulatorischer Dynamik

Hongkongs ETF-Marktboom: Ein globaler Knotenpunkt für passives Investieren inmitten von Krypto-Innovationen und regulatorischen Veränderungen