FBI: Akira-Ransomware-Gruppe hat 42 Millionen Dollar von über 250 Organisationen erbeutet

Die Akira-Ransomware-Gruppe hat die Netzwerke von über 250 Organisationen infiltriert und etwa 42 Millionen Dollar (USD) an Ransomware-Einnahmen beansprucht, laut einer aktuellen gemeinsamen Cybersecurity-Warnung, die vom Federal Bureau of Investigation (FBI) der Vereinigten Staaten, der Cybersecurity and Infrastructure Security Agency (CISA), dem European Cybercrime Centre (EC3) von Europol und dem National Cyber Security Centre (NCSC-NL) der Niederlande herausgegeben wurde.

Laut FBI-Ermittlungen hat die Akira-Ransomware seit März 2023 eine Vielzahl von Unternehmen und kritischen Infrastrukturen in Nordamerika, Europa und Australien ins Visier genommen.

Während die Ransomware ursprünglich Windows-Systeme anvisierte, fand das FBI kürzlich heraus, dass die Linux-Variante von Akira VMware ESXi-VMs angreift, die in vielen großen Unternehmen und Organisationen weit verbreitet sind.

? #StopRansomare: Überprüfen Sie unsere ? #cybersecurity-Warnung, die bekannte #AkiraRansomware #TTPs & #IOCs umreißt, die in Zusammenarbeit mit @FBI, @EC3Europol und @NCSC_NL entwickelt wurden, um die Ausbeutung von Unternehmen und kritischer Infrastruktur zu reduzieren. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 18. April 2024

„Frühere Versionen der Akira-Ransomware-Variante wurden in C++ geschrieben und verschlüsselten Dateien mit einer .akira-Erweiterung; jedoch begannen ab August 2023 einige Akira-Angriffe, Megazord einzusetzen, das auf Rust-basierendem Code basiert und Dateien mit einer .powerranges-Erweiterung verschlüsselt. Akira-Bedrohungsakteure haben weiterhin sowohl Megazord als auch Akira verwendet, einschließlich Akira_v2 (identifiziert durch vertrauenswürdige Drittuntersuchungen), austauschbar“, heißt es in der gemeinsamen Cybersecurity-Warnung.

Das FBI und Cybersecurity-Forscher haben beobachtet, dass Akira-Bedrohungsakteure den ersten Zugang zu Organisationen über einen Virtual Private Network (VPN)-Dienst ohne konfigurierte Multifaktor-Authentifizierung (MFA) erhalten, hauptsächlich unter Verwendung bekannter Cisco-Schwachstellen CVE-2020-3259 und CVE-2023-20269.

Zusätzliche Methoden für den ersten Zugang umfassen die Nutzung von externen Diensten wie Remote Desktop Protocol (RDP), Spear-Phishing-Angriffe und Missbrauch von Anmeldeinformationen.

Sobald der erste Zugang erlangt ist, versuchen Akira-Bedrohungsakteure, die Funktionen von Domänencontrollern auszunutzen, indem sie neue Domänenkonten erstellen, um Persistenz zu gewährleisten.

Die Gruppe verwendet Kerberoasting-Techniken und Mimikatz, um Anmeldeinformationen zu extrahieren, LaZagne zur Unterstützung bei der Privilegieneskalation, PowerTool zur Ausnutzung des Zemana AntiMalware-Treibers und zum Beenden von antivirusbezogenen Prozessen sowie FileZilla, WinRAR, WinSCP und RClone für die Datenexfiltration.

„Akira-Bedrohungsakteure hinterlassen keine anfängliche Lösegeldforderung oder Zahlungsanweisungen in kompromittierten Netzwerken und übermitteln diese Informationen nicht, bis sie vom Opfer kontaktiert werden“, sagten die Behörden.

„Lösegeldzahlungen werden in Bitcoin an von den Bedrohungsakteuren bereitgestellte Kryptowallet-Adressen gezahlt. Um zusätzlichen Druck auszuüben, drohen Akira-Bedrohungsakteure, exfiltrierte Daten im Tor-Netzwerk zu veröffentlichen, und haben in einigen Fällen betroffene Unternehmen angerufen, so die FBI-Berichterstattung.“

Das FBI, CISA, EC3 und NCSC-NL haben eine Reihe robuster Cybersecurity-Praktiken bereitgestellt, um Verteidiger im Kampf gegen die Bedrohung durch Akira-Ransomware zu unterstützen, einschließlich:

Aktivierung von phishing-resistenten Multifaktor-Authentifizierungen (MFA) für alle kritischen Systeme, insbesondere VPNs, Webmail und Konten; Implementierung strenger Zugriffskontrollen und Segmentierung von Netzwerken, um die Ausbreitung von Ransomware einzuschränken; Aufrechterhaltung von Offline-Datensicherungen; regelmäßige Wartung von Backup und Wiederherstellung und Sicherstellung, dass alle Betriebssysteme, Software und Firmware auf dem neuesten Stand gehalten werden.