Sicherheit
_ _ Ralf Abhau

Akira Ransomware: Eine Bedrohung für Unternehmen und wie man sich schützt

Die Akira-Ransomware ist eine der neuesten und gefährlichsten Bedrohungen im Bereich der Cyberkriminalität. Seit ihrem Auftreten 2023 und in der neuen Variante im März 2025 hat sie zahlreiche Organisationen weltweit getroffen, darunter kleine und mittelständische Unternehmen sowie große Konzerne. In diesem Artikel werden wir die Taktiken, Techniken und Verfahren (TTPs) der Akira-Ransomware untersuchen und Strategien zur Prävention und Abwehr dieser Bedrohung vorstellen.

Was ist Akira Ransomware?

Akira Ransomware ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die es mehreren Angreifern ermöglicht, ihre Dienste zu nutzen, um Unternehmen zu infiltrieren und Daten zu verschlüsseln. Die Gruppe hat verschiedene Varianten entwickelt, darunter Akira, Megazord und Akira_v2, die in der Lage sind, Windows-, Linux- und VMware ESXi-Systeme zu verschlüsseln.

Taktiken, Techniken und Verfahren (TTPs)

Initialer Zugang

Akira-Ransomware nutzt mehrere Methoden, um initialen Zugang zu einem Netzwerk zu erhalten:

  1. Gültige Konten (T1078): Angreifer erlangen Zugriff durch Brute-Force-Angriffe oder den Kauf von Anmeldeinformationen.
  2. Externe Remote-Dienste (T1133): Remote Desktop Protocol (RDP) und Virtual Private Network (VPN) werden häufig genutzt, um Zugang zu erhalten.
  3. Ausnutzung öffentlicher Anwendungen (T1190): Bekannte Cisco-Schwachstellen wie CVE-2020-3259 und CVE-2023-20269 werden ausgenutzt.

Ausführung

Sobald der initiale Zugang hergestellt ist, führen die Angreifer verschiedene Aktionen durch:

  1. Windows Management Instrumentation (T1047): Volume Shadow Copies werden gelöscht, um die Wiederherstellung von Daten zu verhindern.
  2. PowerShell-Skripte (T1059.001): Skripte wie Veeam-Get-Creds und Kerberos TicketDumper werden verwendet, um Anmeldeinformationen zu extrahieren.

Persistenz

Um den Zugang aufrechtzuerhalten, erstellen die Angreifer neue Domain-Konten (T1136.002) und nutzen Techniken wie BYOVD (Bring Your Own Vulnerable Driver), um Sicherheitssoftware zu deaktivieren (T1562.001).

Verteidigungsevasion

Akira-Ransomware nutzt verschiedene Methoden, um die Erkennung durch Sicherheitslösungen zu verhindern:

  1. Antivirus-Deaktivierung: Zemana AntiMalware wird missbraucht, um Antivirus-Software zu deaktivieren.
  2. Credential Dumping (T1003): Tools wie Mimikatz und LaZagne werden verwendet, um Anmeldeinformationen aus dem LSASS-Speicher zu extrahieren.

Befehls- und Kontrollzentrum

Für die Datenexfiltration nutzen die Angreifer Tools wie AnyDesk, Cloudflare Tunnel und Ngrok (T1219). Daten werden oft mit WinRAR komprimiert und über FTP oder SFTP übertragen (T1048).

Auswirkungen

Die finale Phase der Akira-Ransomware ist die Verschlüsselung von Dateien. Die Angreifer nutzen hybride Verschlüsselungsalgorithmen, die ChaCha20 und RSA kombinieren, um Dateien zu verschlüsseln und ihnen Erweiterungen wie .akira oder .powerranges hinzuzufügen (T1486).

Prävention und Abwehr

1. Patch-Management

Regelmäßige Updates und Patches für bekannte Schwachstellen sind entscheidend. Besonders Cisco-Schwachstellen sollten schnell behoben werden.

2. Härtung von Remote-Zugängen

RDP- und VPN-Dienste sollten hart gesichert oder deaktiviert werden, um unberechtigten Zugriff zu verhindern.

3. Netzwerksegmentierung

Netzwerke sollten segmentiert werden, um die Ausbreitung von Malware zu verhindern. Zugangskontrollen sollten strikt gehandhabt werden.

4. Sicherheitsbewusstsein

Mitarbeiter sollten regelmäßig geschult werden, um Phishing-Angriffe und andere soziale Engineering-Techniken zu erkennen.

5. Backup-Strategien

Regelmäßige Backups sollten offline und an einem sicheren Ort gespeichert werden. Diese Backups sollten regelmäßig getestet werden, um sicherzustellen, dass sie im Falle eines Angriffs wiederhergestellt werden können.

Fazit

Akira-Ransomware stellt eine erhebliche Bedrohung für Unternehmen dar. Durch das Verständnis der TTPs und die Implementierung effektiver Sicherheitsmaßnahmen können Organisationen ihre Risiken minimieren und sich gegen diese gefährliche Bedrohung schützen. Es ist entscheidend, proaktiv zu handeln und kontinuierlich an der Verbesserung der Sicherheitsstrategien zu arbeiten.

Quellen:

1