Die Akira Ransomware-Bande zielt auf eine SonicWall-Schwachstelle, erklärt Christian Have, CTO bei Logpoint.The Akira ransomware gang is targeting a SonicWall vulnerability, explains Christian Have, CTO at Logpoint.
Gefährlicher Cyberpunk: Obwohl es sich bei Akira um eine relativ neue Ransomware-Variante handelt, hat sie seit ihrer Einführung im März 2023 für Schlagzeilen gesorgt, weil sie immer wieder Ransomware-Angriffe auslöst.

Firewalls sind eine vom Aussterben bedrohte Spezies. In diesem Jahr wurden bereits zahlreiche Sicherheitslücken in weit verbreiteten Lösungen ausgenutzt, jetzt wurden Mitglieder von Akira dabei beobachtet, wie sie CVE-2024-40766 aktiv ausnutzen, wie Arctic Wolf berichtet. Böswillige Akteure scheinen lokale SSLVPN-Konten auf SonicWall-Firewalls, die von der Sicherheitslücke betroffen sind, kompromittiert zu haben.

Die Forscher stellen außerdem fest, dass bei den kompromittierten Geräten die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war. Zusammen mit den Schwachstellen in Sicherheitslösungen zu Beginn dieses Jahres ist dies ein weiteres Zeichen dafür, dass Angreifer nach Zugängen zu weit verbreiteter Software suchen. Angriffe auf die Lieferkette von Software, insbesondere von Sicherheitssoftware, werden zur neuen Normalität.

Es überrascht nicht, dass die alten Conti-Akteure, die jetzt angeblich unter dem Namen der Akira-Gruppe agieren, bei ihren Operationen sehr raffiniert vorgehen. Dies ist eine Folge der zersplitterten Ransomware-Ökonomie, wie Untersuchungen verschiedener Sicherheitsforscher aufzeigen und z. B. in den Ergebnissen des jüngsten Internet Organised Crime Threat Assessment (IOCTA)-Berichts von Europol beschrieben werden. Logpoint verfolgt die Aktivitäten der Gruppe schon seit geraumer Zeit und hat ihre Angriffskettenmuster identifiziert. Die Gruppe ist im März 2023 aufgetaucht und seitdem aktiv.

Der berüchtigte Ransomware-Angriff auf einen deutschen Systemintegrator hat dazu geführt, dass mehr als 70 Gemeinden monatelang nicht arbeiten konnten. Die Gruppe verfügt über eine eigene Leak-Website im Dark Web, auf der die Opfer zusammen mit den gestohlenen Daten aufgelistet sind, falls ein Opfer den Lösegeldforderungen nicht nachkommt. In der Lösegeldforderung werden die Opfer angewiesen, wie sie das Lösegeld über ihr TOR-basiertes Portal aushandeln können. Mit mehreren Erpressungsmethoden fordern sie außerdem Lösegeld in Höhe von mehreren Millionen US-Dollar.

Ihre Angriffsmuster folgen lolbas (Living off the land binaries)-Techniken und sind wie folgt:

  • Disabled Microsoft Defender AV
  • Directory Listing of Remote Hosts
  • ‘Advanced IP Scanner’ Execution
  • ‘AnyDesk’ Execution
  • ‘Rclone’ Execution

Die CISA hat außerdem im April eine Analyse veröffentlicht, in der sie feststellt, dass die Gruppe ihre Tools und ihr Verhalten ständig ändert. Etwas, das bei verschiedenen Bedrohungsakteuren und Ransomware-Gruppen zu beobachten ist: Sie tauschen ihre Tools aus, arbeiten mit Partnern zusammen, die manchmal dieselben sind, und nutzen für ihre Angriffe gemeinsam genutzte Botnet-Infrastrukturen, die im Darknet zu mieten sind.

Für Sicherheitsanalysten in aller Welt verschärft dies die alarmierende Situation, in der sie sich ohnehin befinden. Die „Alert Fatigue“ ist ein großes Problem: Je mehr Sicherheitslösungen und Überwachungssysteme im Einsatz sind, desto mehr Alarme mit einer Vielzahl von Fehlalarmen gehen ein, je nachdem, welche Systeme verwendet werden. Berichte sind gut für die Orientierung, aber in Bezug auf die Sicherheit eher weniger hoch priorisiert. Sie werden aus Compliance-Gründen und nicht für eine dringende Krisensituation erstellt. Auch KI und Gen-KI, die in Sicherheitslösungen vorinstalliert sind, mögen Fehlalarme auf die eine oder andere Weise reduzieren, aber sie beheben das Problem nicht, wenn es einfach zu viel gibt, was übersehen werden könnte.

Daher muss und sollte in den Sicherheitsteams darüber diskutiert werden, wie die Analyse von False Positives vermieden und die wichtigen kritischen Alarme gefunden werden können, die spätestens innerhalb von 48 Stunden bearbeitet werden müssen. Harte Arbeit und Erfahrung sind sicherlich hilfreich, aber Experten vor Ort in einem MSSP oder in einem eigenen SOC zu haben, ist vielleicht der größte Sicherheitsgewinn im Unternehmen. Hierbei geht es nicht um die Einhaltung von Vorschriften, sondern um die Abwehr täglicher Bedrohungen. Sie treten auf, ganz egal wie groß oder klein das anvisierte Unternehmen ist, den Bedrohungsakteuren ist es einfach egal. Unternehmen müssen vorbereitet sein und ihre Sicherheitsanalysten mit den richtigen Lösungen, den notwendigen Berechtigungen und der Unterstützung durch den Vorstand ausstatten.

 

Dangerous Cyberpunk: Although Akira is a relatively new ransomware variant, it has been making headlines since its introduction in March 2023 due to its repeated ransomware attacks.

Firewalls are an endangered species. Numerous vulnerabilities in popular solutions have been exploited this year, and now members of Akira have been observed actively exploiting CVE-2024-40766, according to Arctic Wolf. Malicious actors appear to have compromised local SSLVPN accounts on SonicWall firewalls affected by the vulnerability.

The researchers also note that the compromised devices did not have multi-factor authentication (MFA) enabled. Along with vulnerabilities in security solutions earlier this year, this is another sign that attackers are seeking access to widely used software. Attacks on the supply chain of software, especially security software, are becoming the new normal.

Not surprisingly, the old Conti actors, now reportedly operating under the name of the Akira Group, are very sophisticated in their operations. This is a consequence of the fragmented ransomware economy that has been highlighted by various security researchers and described, for example, in the findings of Europol’s latest Internet Organized Crime Threat Assessment Aed among various threat actors and ransomware groups: they exchange tools, work with sometimes the same partners, and use shared botnet infrastructures for their attacks, which can be rented on the darknet.

The infamous ransomware attack on a German systems integrator has left more than 70 communities unable to work for months. The group has its own leak site on the dark web, listing victims along with the stolen data in case a victim does not comply with the ransom demands. The ransom note instructs victims on how to negotiate the ransom through their TOR-based portal. They also use multiple extortion methods to demand a ransom in the millions of dollars.

Their attack patterns follow Lolbas (living off the land binaries) techniques and are as follows

Disable Microsoft Defender AV
Directory listing of remote hosts
Advanced IP Scanner execution
AnyDesk‘ execution
Rclone‘ execution

CISA also published an analysis in April, stating that the group is constantly changing its tools and behavior. Something that can be observed among various threat actors and ransomware groups: they share tools, work with sometimes the same partners, and use shared botnet infrastructures for their attacks, which can be rented on the darknet.

For security analysts around the world, this exacerbates an already alarming situation. Alert fatigue is a major problem: the more security solutions and monitoring systems that are deployed, the more alerts are received, with a high number of false positives, depending on which systems are used.

Reports are good for guidance, but tend to have a lower security priority. They are created for compliance reasons, not for an urgent crisis situation. Also, AI and Gen AI pre-installed in security solutions may reduce false positives in one way or another, but they don’t solve the problem if there is simply too much that could be missed.

Therefore, security teams must and should discuss how to avoid analyzing false positives and find the important critical alerts that need to be addressed within 48 hours. Hard work and experience certainly help, but having experts on site at an MSSP or in a dedicated SOC is perhaps the biggest security win for the organization. This is not about compliance, this is about defending against everyday threats. It doesn’t matter how big or small the targeted organization is, the threat actors simply don’t care. Organizations need to be prepared and empower their security analysts with the right solutions, the right permissions, and the support of the board of directors.

In einem englischsprachigen Podcast von Security Storage und Channel Germany erläutert Christian Have, CTO Logpoint, im Gespräch mit  Carolina Heyder, Chefredakteurin von Security Storage und Channel Germany, die Bedeutung einer Sicherheitsstrategie, die die Bedürfnisse europäischer Unternehmen berücksichtigt.In an English podcast from Security Storage and Channel Germany, Christian Have, CTO of Logpoint, talks with Carolina Heyder, editor-in-chief of Security Storage and Channel Germany, about a security strategy that takes into account the needs of European companies.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner