Das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA), das National Cyber Security Centre of the Netherlands (NCSC-NL) und das European Cybercrime Centre (EC3) von Europol haben eine gemeinsame Warnung vor Akira-Ransomware herausgegeben .
Die Gruppe ist seit März 2023 für Angriffe auf mehr als 250 Unternehmen und kritische Infrastruktureinrichtungen verantwortlich, vor allem in Nordamerika, Europa und Australien.
Akiras Entwicklung und Angriffstechniken
Akira-Bedrohungsakteure haben zum 1. Januar 2024 Lösegelder in Höhe von etwa 42 Millionen US-Dollar angehäuft. Sie haben es auf verschiedene Branchen abgesehen, was bei Unternehmen auf der ganzen Welt erhebliche Bedenken hervorruft.
Akira wurde ursprünglich in C++ geschrieben und verschlüsselte Dateien ursprünglich mit der Erweiterung .akira. Es sind jedoch Abweichungen aufgetreten. Ab August 2023 verbreitete die Gruppe die Rust-basierte Megazord-Ransomware und fügte ihren verschlüsselten Dateien die Erweiterung .powerranges hinzu. Bei einigen Angriffen werden jetzt sowohl Megazord- als auch Akira-Varianten eingesetzt, um eine größere Wirkung zu erzielen.
Weiterlesen: Top-Betrügereien mit Kryptowährungen im Jahr 2024
FBI- und Cybersicherheitsforscher verfolgten Akiras erste Zugriffsmethoden. Sie nutzen häufig bekannte Schwachstellen in Cisco VPN-Diensten aus, denen die Multi-Faktor-Authentifizierung (MFA) fehlt. Darüber hinaus erhalten sie Zugriff über Remote-Desktop-Protokolle, Spear-Phishing und kompromittierte Anmeldeinformationen.
Sobald sich Akira-Angreifer in einem Netzwerk befinden, erstellen sie neue Domänenkonten, um die Persistenz aufrechtzuerhalten. Anschließend nutzen sie Credential-Scraping-Tools wie Mimikatz, um die Berechtigungen zu erweitern. Die Systemerkundung und die Identifizierung des Domänencontrollers werden mithilfe von Tools wie SoftPerfect und Advanced IP Scanner sowie nativen Windows-Befehlen durchgeführt.
Akira-Autoren deaktivieren häufig Sicherheitssoftware, bevor sie sich seitlich durch kompromittierte Netzwerke bewegen. Es wurde beobachtet, dass PowerTool Antivirenprozesse deaktiviert, um einer Erkennung zu entgehen.
Um sensible Daten zu stehlen , nutzen Akira-Betreiber in großem Umfang Exfiltrationstools wie FileZilla, WinSCP und Cloud-Speicherdienste. Sie richten Befehls- und Kontrollkanäle mit AnyDesk, RustDesk und Cloudflare Tunnel ein.
Getreu dem Modell der doppelten Erpressung verschlüsseln Akira-Akteure Systeme, nachdem sie Daten gestohlen haben. Ihr Lösegeldschein enthält einen eindeutigen Code und eine .onion-URL, um sie zu kontaktieren. Sie geben keinen anfänglichen Lösegeldbetrag an, was die Opfer zu Verhandlungen veranlasst.
Lösegeldzahlungen werden in Bitcoin an von den Bedrohungsakteuren bereitgestellte Krypto-Wallet-Adressen gezahlt.
Um weiteren Druck auszuüben, drohen Akira-Bedrohungsakteure außerdem damit, gestohlene Daten im Tor-Netzwerk zu veröffentlichen, und haben in einigen Fällen Opferfirmen angerufen, berichtete das FBI.
Das FBI, CISA, EC3 und NCSC-NL haben umfassende Empfehlungen für das Bedrohungsakteursystem und die Netzwerkerkennungstechniken von Akira herausgegeben. Durch die Implementierung dieser Abhilfemaßnahmen kann das Risiko eines erfolgreichen Angriffs erheblich verringert werden.
„Zusätzlich zur Anwendung von Abhilfemaßnahmen empfehlen das FBI, CISA, EC3 und NCSC-NL, das Sicherheitsprogramm Ihrer Organisation anhand der in dieser Empfehlung dem MITRE ATT&CK for Enterprise-Framework zugeordneten Bedrohungsverhaltensweisen auszuprobieren, zu testen und zu validieren“, schrieb CISA im sein Bericht .
Lesen Sie mehr: Die fünf größten kryptografischen Sicherheitslücken und wie man sie vermeidet
Laut einem Chainalysis-Bericht vom Februar 2024 intensivierten sich Ransomware-Angriffe im Jahr 2023 , wobei 1 Milliarde US-Dollar von den Opfern erpresst wurden. Dies verdeutlicht die wachsende Cyber-Bedrohung und die Notwendigkeit für Unternehmen , ihre Cyber-Abwehr zu verbessern .
Der Beitrag „FBI warnt vor Bitcoin-Ransomware im Zusammenhang mit 42-Millionen-Dollar-Erpressung“ erschien zuerst auf BeInCrypto .