Nach Conti: Akira Ransomware entwickelt sich zur nächsten, großen Cybergefahr für KMU

Cyber-Betrug

Update Fr, 10. November 2023: Die aufstrebende Hackergruppe Akira Ransomware hat wieder zugeschlagen: Das Kollektiv ist verantwortlich für den Angriff auf die Südwestfalen-IT. Aber wer genau steckt dahinter?

Das hochqualifizierte Hackerkollektiv Akira hat den Cyberangriff auf die Südwestfalen-IT durchgeführt, wie jetzt bekannt wurde. Infolgedessen sind zahlreiche lokale Verwaltungen in ihrer Arbeitsfähigkeit stark eingeschränkt. Die Gruppe hat Daten auf den Servern der betroffenen Einrichtungen verschlüsselt und verlangt nun eine beträchtliche Summe als Lösegeld. Die betroffenen Kommunalverwaltungen lehnen es jedoch ab, auf diese Forderungen einzugehen. Sie konzentrieren sich stattdessen darauf, die Server wiederherzustellen und alternative Lösungen zu entwickeln.

Anzeige

Ausnutzung einer Sicherheitslücke

Seit ihrem Auftreten im März hat die Hackergruppe eigenen Angaben zufolge, bereits 63 Unternehmen im Darknet angegriffen und gilt als eine der weltweit gefährlichsten Cyber-Bedrohungen.

Akira zielt vornehmlich auf Server-Systeme ab, die nicht durch eine Zwei-Faktor-Authentifizierung geschützt sind – eine Sicherheitsmaßnahme, die auch im Online-Banking Anwendung findet. Diese Schwachstelle nutzen sie, um gespeicherte Daten zu verschlüsseln und fordern im Gegenzug für deren Entschlüsselung hohe Lösegelder.

Wer oder was ist Akira Ransomware?

Akira ist eine relativ neue, schnell wachsende Ransomware-Gruppe, die erstmals im März 2023 beobachtet wurde und das Ransomware-as-a-Service (RaaS)-Modell nutzt. RaaS sind Service- und Tool-Angebote rund um Ransomware, mit denen auch relativ unerfahrene Cyberkriminelle „gute“ Erfolge erzielen können. Ähnlich wie andere bekannte RaaS-Gruppen dringt Akira in IT-Systeme von Unternehmen ein, exfiltriert Daten und verschlüsselt Anwendungen, um Lösegeld zu erpressen. Wird das geforderte Ransom nicht gezahlt, werden der Name und die Daten des Opfers auf der Leak-Seite von Akira veröffentlicht. Laut dieser Site hat die kriminelle Vereinigung seit ihrer Gründung mindestens 63 Organisationen kompromittiert, wobei etwa 80 Prozent der Opferunternehmen kleine und mittelständische Unternehmen (KMU) sind.

Anzeige

Das alles erinnert verdächtig an die berüchtigte Ransomware-Gruppe Conti. So ignoriert Akira die gleichen Dateitypen und Verzeichnisse wie Conti Ransomware und verfügt über ähnliche Funktionen. Zudem verwendet der „neue“ Stern am Cybercrime-Himmel auch den ChaCha-Algorithmus zum Verschlüsseln von Dateien.

„Durch die Verfolgung von Transaktionen, die während der Blockchain-Analyse entdeckt wurden, können wir einzelne Gruppen mit höherer Zuverlässigkeit miteinander in Verbindung bringen, basierend auf Transaktionen zu und von bekannten von Bedrohungsakteuren kontrollierten Kryptowährungsadressen“, so Daniel Thanos, Head of Arctic Wolf Labs. „Die Verfolgung von Lösegeldzahlungen an Akira ermöglichte es Arctic Wolf Labs, Transaktionen an Conti-zugeordnete Adressen zu identifizieren. Dieselbe Analysemethode ermöglichte es unserem Team, Verbindungen zwischen der Erpressergruppe Karakurt, Diavol und der Ransomware-Gruppe Conti im Jahr 2022 zu identifizieren.“

Thanos erläutert zudem: „Wir schätzen, dass Akira aufgrund seiner Viktimologie und Verhandlungstaktik wahrscheinlich eine opportunistische Ransomware-Gruppe ist. In fast allen von Arctic Wolf untersuchten Fällen gaben die Bedrohungsakteure an, dass sie Zeit brauchen, um die exfiltrierten Daten zu überprüfen und eine Lösegeldforderung zu stellen.“

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Abwehr und Schutzmaßnahmen

Aber wie können sich Unternehmen am besten gegen die Attacken der Akira Ransomware-Gruppe schützen, sei sie nun mit Conti im Bunde oder nicht? Zunächst gilt es, bei einem erfolgen Ransomware-Angriff, besonnen zu agieren und die relevanten Behörden umgehend zu informieren. Weiterhin müssen die Situation analysiert und dann die notwendigen Gegenmaßnahmen eingeleitet werden. Fehlen adäquate interne Ressourcen in einer solchen Ausnahmesituation, können Unternehmen auf die professionelle Hilfe von externen Security-Dienstleistern wie Arctic Wolf zurückgreifen, die sowohl das Skillset, die Manpower und die geeigneten Tools haben, um angemessen zu reagieren und den Schaden möglichst zu minimieren.

Fazit: Die böse Saat gedeiht im Cyberspace, Abhilfe schaffen umfassende Schutzmaßnahmen

Obwohl sich Conti aufgrund des zunehmenden Drucks, interner Konflikte und der Veröffentlichung des Quellcodes auflöste, richten viele der Conti-Mitglieder im Jahr 2023 durch ihre Aktivitäten mit anderen RaaS-Gruppen, einschließlich Akira, weiterhin Schaden in Unternehmen an. Akira entwickelt sich weiter und wächst als Ransomware-Gruppe, indem sie ihre Taktiken ändert und so ihrer Aufdeckung entgeht. Bewährte Sicherheitsprozesse, wie die Aktivierung von MFA auf VPN-Appliances, können die Wahrscheinlichkeit einer erfolgreichen Kompromittierung durch Akira erheblich einschränken, genau wie regelmäßige System-Patches und -Updates im Rahmen einer eine umfassenden Cybersicherheitsstrategie.

www.arcticwolf.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.