Akira-Ransomware entwickelt sich zur nächsten, großen Cybergefahr für KMU

Ransomware ist eine der größten Bedrohungen für Unternehmen. Das bestätigte auch das BSI in seinem Bericht zur Lage der IT-Sicherheit in Deutschland in 2022. Eine der bekanntesten und berüchtigtsten Ransomware-Gruppen war Conti. Diese kriminelle Organisation bildete die Basis für weitere Bedrohungsakteure, die sich von der Ransomware-Gruppe abgespalten haben. Eine dieser Gruppen ist Akira-Ransomware.

 

Wer oder was ist Akira?

Akira ist eine relativ neue, schnell wachsende Ransomware-Gruppe, die erstmals im März 2023 beobachtet wurde und das Ransomware-as-a-Service (RaaS)-Modell nutzt. RaaS sind Service- und Tool-Angebote rund um Ransomware, mit denen auch relativ unerfahrene Cyberkriminelle „gute“ Erfolge erzielen können. Ähnlich wie andere bekannte RaaS-Gruppen dringt Akira in IT-Systeme von Unternehmen ein, exfiltriert Daten und verschlüsselt Anwendungen, um Lösegeld zu erpressen. Wird das geforderte Ransom nicht gezahlt, werden der Name und die Daten des Opfers auf der Leak-Seite von Akira veröffentlicht. Laut dieser Site hat die kriminelle Vereinigung seit ihrer Gründung mindestens 63 Organisationen kompromittiert, wobei etwa 80 Prozent der Opferunternehmen kleine und mittelständische Unternehmen (KMU) sind.

Das alles erinnert verdächtig an die berüchtigte Ransomware-Gruppe Conti. So ignoriert Akira die gleichen Dateitypen und Verzeichnisse wie Conti Ransomware und verfügt über ähnliche Funktionen. Zudem verwendet der „neue“ Stern am Cybercrime-Himmel auch den ChaCha-Algorithmus zum Verschlüsseln von Dateien.

„Durch die Verfolgung von Transaktionen, die während der Blockchain-Analyse entdeckt wurden, können wir einzelne Gruppen mit höherer Zuverlässigkeit miteinander in Verbindung bringen, basierend auf Transaktionen zu und von bekannten von Bedrohungsakteuren kontrollierten Kryptowährungsadressen“, so Daniel Thanos, Head of Arctic Wolf Labs . „Die Verfolgung von Lösegeldzahlungen an Akira ermöglichte es Arctic Wolf Labs, Transaktionen an Conti-zugeordnete Adressen zu identifizieren. Dieselbe Analysemethode ermöglichte es unserem Team, Verbindungen zwischen der Erpressergruppe Karakurt, Diavol und der Ransomware-Gruppe Conti im Jahr 2022 zu identifizieren.“

Thanos erläutert zudem: „Wir schätzen, dass Akira aufgrund seiner Viktimologie und Verhandlungstaktik wahrscheinlich eine opportunistische Ransomware-Gruppe ist. In fast allen von Arctic Wolf untersuchten Fällen gaben die Bedrohungsakteure an, dass sie Zeit brauchen, um die exfiltrierten Daten zu überprüfen und eine Lösegeldforderung zu stellen.“

 

Abwehr und Schutzmaßnahmen gegen Akira

Aber wie können sich Unternehmen am besten gegen die Attacken der Akira-Ransomware-Gruppe schützen, sei sie nun mit Conti im Bunde oder nicht? Zunächst gilt es, bei einem erfolgen Ransomware-Angriff, besonnen zu agieren und die relevanten Behörden umgehend zu informieren. Weiterhin müssen die Situation analysiert und dann die notwendigen Gegenmaßnahmen eingeleitet werden. Fehlen adäquate interne Ressourcen in einer solchen Ausnahmesituation, können Unternehmen auf die professionelle Hilfe von externen Security-Dienstleistern wie Arctic Wolf zurückgreifen, die sowohl das Skillset, die Manpower und die geeigneten Tools haben, um angemessen zu reagieren und den Schaden möglichst zu minimieren.

 

Fazit: Die böse Saat gedeiht im Cyberspace, Abhilfe schaffen umfassende Schutzmaßnahmen

Obwohl sich Conti aufgrund des zunehmenden Drucks, interner Konflikte und der Veröffentlichung des Quellcodes auflöste, richten viele der Conti-Mitglieder im Jahr 2023 durch ihre Aktivitäten mit anderen RaaS-Gruppen, einschließlich Akira, weiterhin Schaden in Unternehmen an. Akira entwickelt sich weiter und wächst als Ransomware-Gruppe, indem sie ihre Taktiken ändert und so ihrer Aufdeckung entgeht. Bewährte Sicherheitsprozesse, wie die Aktivierung von MFA auf VPN-Appliances, können die Wahrscheinlichkeit einer erfolgreichen Kompromittierung durch Akira erheblich einschränken, genau wie regelmäßige System-Patches und -Updates im Rahmen einer eine umfassenden Cybersicherheitsstrategie.

Weitere Informationen zur Angriffsstrategie von Akira sowie zur Ähnlichkeit mit Conti finden sich im entsprechenden Arctic Wolf-Blogbeitrag.

#Arctic Wolf