Die Bedrohungsakteure mit Akira Ransomware waren im zu Ende gehenden Jahr nicht untätig. So nutzten sie etwa die neuesten Zero-Day-Schwachstellen aus, darunter Veeam Backup & Replication (VBR) (CVE-2024-40711), das die unautorisierte Remotecodeausführung auf anfälligen Computern ermöglicht. Talos Intelligence berichtete im Oktober, dass die Betreiber von Akira die kürzlich veröffentlichten Schwachstellen aggressiv ausnutzen, um sich Zugang zu Netzwerken zu verschaffen.
Gastkommentar von Swachchhanda Shrawan Poudel, Security Researcher bei Logpoint
So haben sie beispielsweise Sonicwall SonicOS (CVE-2024-40766) und Cisco Security Appliances (CVE-2020-3259, CVE-2023-20263) angegriffen. Ausserdem haben sie den Byovd-Ansatz (Bring Your Own Vulnerable Driver) implementiert, bei dem der Antimalware-Treiber von Zemana verwendet wird, um Antimalware-bezogene Prozesse zu beenden.
Akira hat ausserdem seine Fähigkeiten mit Tools wie EV-Killer und EDR-Killer erweitert, die Endpunkt-Erkennungs- und Reaktionssysteme (EDR) umgehen und zu einem Anstieg der weltweiten Opferzahlen beitragen. Im November 2024 fügte die Ransomware Akira an einem einzigen Tag mehr als 30 neue Opfer auf ihrer Datenleck-Site hinzu - die grösste Anzahl seit Beginn ihrer Aktivitäten. Darüber hinaus hat sich Akira weiterentwickelt, um Linux-Systeme und virtuelle VMware ESXi-Maschinen über ein Rust-basiertes Derivat namens "Akira v2" anzugreifen, was zeigt, dass die Ransomware bestrebt ist, ihre Angriffsmöglichkeiten zu verbessern und zu erweitern.
Einiges deutet darauf hin, dass die Ransomware Akira möglicherweise mit nationalstaatlichen Akteuren in Verbindung steht, insbesondere mit chinesischen Advanced Persistent Threat (APT)-Gruppen. Historische Anzeichen für Angriffe sowie die Nutzung der Alibaba-Cloud-Infrastruktur deuten auf eine wahrscheinliche Unterstützung durch einen Staat hin. Darüber hinaus haben die Betreiber Verbindungen zu anderen Ransomware-Gruppen nachgewiesen. So wurden sie beispielsweise mit der Conti-Ransomware-Organisation in Verbindung gebracht, und es gibt Anzeichen dafür, dass sie möglicherweise mit anderen Ransomware-Gruppen wie Snatch und BlackByte zusammenarbeiten. Es gibt jedoch keine stichhaltigen Beweise, sondern nur einen gewissen Verdacht, dass sie mit nationalen Akteuren oder Malware-Organisationen verbunden sind.
Fazit
Die Ransomware Akira scheint eine Ransomware-as-a-Service (RaaS)-Strategie zu verwenden, bei der sie mit einer Vielzahl von Partnern und Freiberuflern zusammenarbeitet. Diese Partner sind für verschiedene Phasen des Angriffs verantwortlich, vom ersten Zugriff bis zur Bereitstellung der Ransomware und der Datenexfiltration. Akira-Betreiber erhalten häufig Netzwerkzugang von Erstzugangs-Brokern. Diese Makler bieten Zugang zu infiltrierten Netzwerken, die die Ransomware-Betreiber dann zur Verbreitung ihrer Software nutzen. Diese Veränderungen zeigen, dass sich sowohl die Betreiber als auch die Akira Ransomware selbst ständig weiterentwickelt, neue Strategien anwendet und ihre Reichweite vergrössert.
