Cyberkriminelle hinter der Akira-Ransomware verdienten in einem Jahr über 42 Millionen Dollar

Die für die Akira Ransomware verantwortlichen Cyberkriminellen haben laut Berichten von CISA, FBI, Europol und dem niederländischen National Cyber Security Centre (NCSC-NL) innerhalb eines Jahres die schwindelerregende Summe von über 42 Millionen Dollar angehäuft. Ihren schändlichen Aktivitäten sind weltweit über 250 Unternehmen aus den verschiedensten Branchen zum Opfer gefallen, darunter Dienstleistung, Fertigung, Bildung, Bauwesen, kritische Infrastruktur, Finanzen, Gesundheitswesen und Rechtswesen.

Ursprünglich war die Akira-Ransomware auf Windows-Systeme beschränkt, doch seit April 2023 infiziert sie auch virtuelle VMware ESXi-Maschinen. Darüber hinaus wurde ihr Arsenal ab August 2023 durch die Integration von Megazord erweitert, wie CISA, FBI, Europol und NCSC-NL in einer aktuellen Warnung hervorhoben.

Die Betreiber der Akira Ransomware haben eine ausgeklügelte Vorgehensweise demonstriert, indem sie Schwachstellen in VPN-Diensten ohne Multi-Faktor-Authentifizierung ausnutzen und dabei insbesondere bekannte Schwachstellen in Cisco-Produkten wie CVE-2020-3259 und CVE-2023-20269 ausnutzen. Sie haben auch Taktiken wie die Infiltration des Remote Desktop Protocol (RDP), Spear-Phishing-Kampagnen und die Verwendung gültiger Anmeldeinformationen eingesetzt, um in die Umgebungen der Opfer einzudringen.

Nach dem ersten Zugriff verfolgen diese Bedrohungsakteure sorgfältige Strategien zur Persistenz, erstellen neue Domänenkonten, extrahieren Anmeldeinformationen und führen umfassende Netzwerk- und Domänencontroller-Auskundschaften durch. Die Warnung unterstreicht eine bemerkenswerte Weiterentwicklung der Taktik von Akira, bei der im Rahmen eines einzigen Angriffs zwei unterschiedliche Ransomware-Varianten gegen unterschiedliche Systemarchitekturen eingesetzt werden.

Um nicht entdeckt zu werden und laterale Bewegungen zu ermöglichen, deaktivieren die Akira-Betreiber systematisch Sicherheitssoftware. Ihr Toolkit umfasst eine Reihe von Softwareanwendungen zur Datenexfiltration und zum Aufbau von Command-and-Control-Kommunikation, darunter FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok und RustDesk.

Ähnlich wie andere Ransomware-Syndikate verwendet Akira ein duales Erpressungsmodell: Zunächst werden die Daten der Opfer exfiltriert, bevor sie verschlüsselt werden. Anschließend wird die Zahlung in Bitcoin über Tor-basierte Kommunikationskanäle verlangt. Die Angreifer erhöhen den Druck noch weiter, indem sie drohen, die exfiltrierten Daten im Tor-Netzwerk öffentlich zu machen, und in einigen Fällen auch direkt Kontakt zu den betroffenen Organisationen aufnehmen.

Als Reaktion auf diese eskalierende Bedrohungslandschaft liefert die Warnung Netzwerkverteidigern mit Akira verbundene Kompromittierungsindikatoren (IoCs) sowie empfohlene Minderungsstrategien zur Stärkung ihrer Abwehrmaßnahmen gegen solche Angriffe.