Akira Ransomware erpresst innerhalb eines Jahres Lösegeldzahlungen in Höhe von 42 Millionen US-Dollar

Seit Anfang 2023 hat die Akira-Ransomware weltweit mehr als 250 Opfer ins Visier genommen und über 42 Millionen US-Dollar an Lösegeldzahlungen eingetrieben, so CISA, FBI, Europol und das niederländischen National Cyber Security Centre (NCSC-NL).

Es wurde beobachtet, dass die Betreiber der Akira-Ransomware Organisationen in den verschiedensten Sektoren angriffen, darunter Dienstleistungs- und Gütersektor, Fertigung, Bildung, Bauwesen, kritische Infrastrukturen, Finanzen, Gesundheitswesen und Rechtswesen.

Ursprünglich konzentrierte sich Akira auf Windows-Systeme, hat seine Reichweite jedoch seit April 2023 auf die Infektion virtueller VMware ESXi-Maschinen ausgeweitet und wird seit August 2023 in Verbindung mit Megazord verwendet, wie in einer Warnung von CISA, FBI, Europol und NCSC-NL hervorgehoben wird.

Um sich ersten Zugriff zu verschaffen, zielten die Betreiber der Akira-Ransomware auf VPN-Dienste ohne Multi-Faktor-Authentifizierung ab und nutzten dabei in erster Linie bekannte Schwachstellen in Cisco-Produkten (wie CVE-2020-3259 und CVE-2023-20269). Sie nutzten außerdem Remote Desktop Protocol (RDP), Spear-Phishing und gestohlene Anmeldeinformationen, um in die Umgebungen der Opfer einzudringen.

Nachdem sie sich Zugriff verschafft hatten, erstellten die Bedrohungsakteure zur dauerhaften Sicherung neue Domänenkonten (in manchen Fällen auch Administratorkonten), extrahierten Anmeldeinformationen und führten eine Aufklärung des Netzwerks und der Domänencontroller durch.

Bedrohungsakteur, der Akira betreibt, betreibt zwei verschiedene Varianten

Basierend auf glaubwürdigen Untersuchungen durch Dritte wurde beobachtet, dass die Angreifer von Akira im Rahmen desselben Angriffs zwei verschiedene Ransomware-Varianten einsetzen, die auf unterschiedliche Systemarchitekturen abzielen. Dies stelle eine Abkehr von zuvor gemeldeten Akira-Ransomware-Aktivitäten dar, heißt es in der Warnung.

In Vorbereitung auf die laterale Bewegung innerhalb von Netzwerken deaktivierten die Akira-Betreiber Sicherheitssoftware, um nicht entdeckt zu werden. Sie wurden auch dabei beobachtet, wie sie Tools wie FileZilla, WinRAR, WinSCP und RClone zur Datenexfiltration sowie AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok und RustDesk zur Herstellung einer Command-and-Control-Kommunikation (C&C) verwendeten.

Ähnlich wie andere Ransomware-Gruppen exfiltriert Akira die Daten der Opfer, bevor sie diese verschlüsselt. Die Opfer werden angewiesen, die Angreifer über eine Tor-basierte Website zu kontaktieren und anschließend Lösegeld in Bitcoin zu zahlen.

Um weiteren Druck auszuüben, drohen die Akira-Bedrohungsakteure mit der Veröffentlichung exfiltrierter Daten im Tor-Netzwerk und haben in einigen Fällen sogar Kontakt zu den betroffenen Unternehmen aufgenommen, stellten CISA, das FBI, Europol und NCSC-NL fest.