Thought Leadership
Seit dem Ransomware-Vorfall bei einem deutschen IT-Dienstleister mit Auswirkungen auf über 70 Kommunen in 2023 wurde es ruhig um die Schadsoftware. Lediglich zu Beginn des Jahres macht die Berliner Hochschule für Technik (BHT) ihren Ransomware-Vorfall öffentlich.
Auch hier war es Akira, die im Zuge einer Kompromittierung eines Accounts einige Server verschlüsselt hatte, allerdings ohne sensible Daten abgreifen zu können. Mitte November veröffentlichte die Gruppe auf ihrer Leak-Seite, dass sie angeblich Daten bei der Hager Group entwendet hätten, was sich dann jedoch als die Firma Uniola herausstellte.
Die Bedrohungsakteure waren also nicht untätig. Sie nutzten die neuesten Zero-Day-Schwachstellen aus, darunter Veeam Backup & Replication (VBR) (CVE-2024-40711), das die unautorisierte Remotecodeausführung auf anfälligen Computern ermöglicht. Talos Intelligence berichtete im Oktober, dass die Betreiber von Akira die kürzlich veröffentlichten Schwachstellen aggressiv ausnutzen, um sich Zugang zu Netzwerken zu verschaffen. So haben sie beispielsweise SonicWall SonicOS (CVE-2024-40766) und Cisco Security Appliances (CVE-2020-3259, CVE-2023-20263) angegriffen. Außerdem haben sie den BYOVD-Ansatz (Bring Your Own Vulnerable Driver) implementiert, bei dem der Antimalware-Treiber von Zemana verwendet wird, um Antimalware-bezogene Prozesse zu beenden.
Akira hat außerdem seine Fähigkeiten mit Tools wie EV-Killer und EDR-Killer erweitert, die Endpunkt-Erkennungs- und Reaktionssysteme (EDR) umgehen und zu einem Anstieg der weltweiten Opferzahlen beitragen. Im November 2024 fügte die Ransomware Akira an einem einzigen Tag mehr als 30 neue Opfer auf ihrer Datenleck-Site hinzu – die größte Anzahl seit Beginn ihrer Aktivitäten. Darüber hinaus hat sich Akira weiterentwickelt, um Linux-Systeme und virtuelle VMware ESXi-Maschinen über ein Rust-basiertes Derivat namens „Akira v2“ anzugreifen, was zeigt, dass die Ransomware bestrebt ist, ihre Angriffsmöglichkeiten zu verbessern und zu erweitern.
Zusammenarbeit mit anderen Gruppen oder nationalstaatlichen Akteuren
Einiges deutet darauf hin, dass die Ransomware Akira möglicherweise mit nationalstaatlichen Akteuren in Verbindung steht, insbesondere mit chinesischen Advanced Persistent Threat (APT)-Gruppen. Historische Anzeichen für Angriffe sowie die Nutzung der Alibaba-Cloud-Infrastruktur deuten auf eine wahrscheinliche Unterstützung durch einen Staat hin. Darüber hinaus haben die Betreiber Verbindungen zu anderen Ransomware-Gruppen nachgewiesen. So wurden sie beispielsweise mit der Conti-Ransomware-Organisation in Verbindung gebracht, und es gibt Anzeichen dafür, dass sie möglicherweise mit anderen Ransomware-Gruppen wie Snatch und BlackByte zusammenarbeiten. Es gibt jedoch keine stichhaltigen Beweise, sondern nur einen gewissen Verdacht, dass sie mit nationalen Akteuren oder Malware-Organisationen verbunden sind.
Fazit
Die Ransomware Akira scheint eine Ransomware-as-a-Service (RaaS)-Strategie zu verwenden, bei der sie mit einer Vielzahl von Partnern und Freiberuflern zusammenarbeitet. Diese Partner sind für verschiedene Phasen des Angriffs verantwortlich, vom ersten Zugriff bis zur Bereitstellung der Ransomware und der Datenexfiltration. Akira-Betreiber erhalten häufig Netzwerkzugang von Erstzugangs-Brokern. Diese Makler bieten Zugang zu infiltrierten Netzwerken, die die Ransomware-Betreiber dann zur Verbreitung ihrer Software nutzen. Diese Veränderungen zeigen, dass sich sowohl die Betreiber als auch die Akira Ransomware selbst ständig weiterentwickelt, neue Strategien anwendet und ihre Reichweite vergrößert.
