Dieser Artikel wurde durch die Mitarbeit von Aaron Gdanski ermöglicht.
Die Teams von IBM X-Force Incident Response und Threat-Intelligence haben seit dem Auftreten dieser Bedrohungsakteure im März 2023 mehrere Akira-Ransomware-Angriffe untersucht. Dieser Blogbeitrag teilt die einzigartige Perspektive von X-Force auf Akira, basierend auf der Beobachtung der Bedrohungsakteure hinter dieser Ransomware, einschließlich der zur Bereitstellung verwendeten Befehle, der aktiven Ausnutzung der Schwachstelle CVE-2023-20269 sowie der Analyse der Ransomware-Binärdatei.
Die Akira-Ransomware-Gruppe hat in der aktuellen Cybersicherheitslandschaft Bekanntheit erlangt. Dies wird durch die jüngste Einstufung der Gruppe durch die Cybersecurity and Infrastructure Security Agency (CISA) sowie die hunderten Opfer unterstrichen, die die Akira-Ransomware-Akteure in verschiedenen Branchen und geografischen Regionen für sich beansprucht haben.
Die Akira-Bedrohungsakteure wenden ein doppeltes Erpressungsschema an, das sowohl die Exfiltration von Daten als auch die unternehmensweite Verschlüsselung umfasst. Die Affiliates von Akira fordern eine Lösegeldzahlung, um die Veröffentlichung der Dateien auf der Onion-Website der Gruppe zu verhindern und einen Entschlüsselungsschlüssel zur Wiederherstellung der betroffenen Daten zu erhalten. Der Name der Gruppe scheint auf die Handlung eines gleichnamigen Anime-Films aus dem Jahr 1988 anzuspielen.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Akira-Ransomware-Akteure haben zwei Seiten im Dark Web bereitgestellt – beide sind .onion -Standorte, die in der von Akira nach jedem Angriff hinterlassenen Lösegeldforderung erwähnt werden. Die Websites sind so gestaltet, dass sie an das ARPANET der frühen 1980er-Jahre erinnern.
Die erste Seite enthält allgemeine Informationen über die Ransomware-Gruppe, bewirbt gestohlene Datensätze von Opfern der Gruppe, enthält Neuigkeiten zu möglichen Datenfreigaben und nennt Kontaktmöglichkeiten zur Gruppe.
Abbildung 1: Akira Ransomware .onion -Dark-Web-Leak-Site (Quelle: X-Force Dark-Web-Recherche)
Die zweite Website wird für Verhandlungen genutzt. Um auf diese Website zugreifen zu können, muss der Benutzer ein in der Lösegeldforderung enthaltenes Passwort als eindeutigen Identifikator eingeben.
Abbildung 2: Akira Ransomware .onion -Verhandlungsportal im Dark Web (Quelle: X-Force Forschung)
Nach dem Zugriff wird dem Opfer im Verhandlungsportal eine Nachricht angezeigt, die darüber informiert, dass die Akira-Gruppe eine Stichprobe gestohlener Daten des betroffenen Unternehmens vorbereitet. Dieser Prozess kann für den Bedrohungsakteur manuell erfolgen, je nachdem, wie viel Zeit er in Anspruch nimmt. Sobald der Prozess abgeschlossen ist, hängt die Bedrohungsgruppe eine Datei an, die eine Liste der Ordner und Dateien enthält, die während der Operation exfiltriert wurden, um dem Opfer zu beweisen, dass die Akira-Akteure authentische Dateien gestohlen haben, bevor die Verschlüsselung stattfand.
Abbildung 3: Akira-Support-Chat im Dark-Web-Verhandlungsportal (Quelle: Lab539)
Nach der Veröffentlichung von CVE-2023-20269 Anfang September 2023 haben die Akira-Ransomware-Bedrohungsakteure diese Schwachstelle in großem Umfang ausgenutzt. CVE-2023-20269 betrifft die Funktionen des virtuellen privaten Netzwerks (VPN) von Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) und ermöglicht es unbefugten Fernangreifern, Brute-Force-Angriffe auf bestehende Konten durchzuführen.
Nach dem ersten Zugriff nutzt die Gruppe eine Vielzahl von Tools und Malware zur Aufklärung, Datenexfiltration und Lateralbewegung sowie speziell entwickelte Skripte, um die Ransomware-Binärdatei im Netzwerk zu verbreiten.
Scrollen Sie, um die vollständige Tabelle anzuzeigen
Abbildung 4 zeigt die von den Akira-Ransomware-Akteuren verwendete Suite an Tools (Quelle: X-Force)
Im Gegensatz zu einigen Ransomware-Familien mit Wurm-Verhaltensmodulen für die Verbreitung oder Replikation ohne menschliches Zutun erfordert Akira Ransomware ein aktives Vorgehen, um die Infektion in Netzwerken zu verbreiten. Gängige Optionen sind die Verwendung von Domain-Controller-Richtlinien, sofern der Bedrohungsakteur diese Zugriffsebene erreicht hat, oder die Nutzung von in der Akira-Binärdatei eingebetteten Funktionen, die durch Batch- oder Bash-Skripte ausgelöst werden.
X-Force hat beobachtet, dass die Akira-Ransomware-Akteure nach Abschluss der Aufklärungsaktivitäten Batch-Skripte mit folgendem Muster verwenden:
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
Die Akira-Ransomware-Binärdatei erstellt eine Textdatei im aktuellen Verzeichnis, in dem die Ausführung stattfand.
IBM X-Force hat sowohl Windows- als auch Linux-Binärdateien auf Akira-Ransomware analysiert. Die Linux- und Windows-Versionen von Akira funktionieren ähnlich. Der Hauptunterschied liegt in den Bibliotheken, die zur Unterstützung kryptografischer Operationen verwendet werden. Akira hängt .akira an die Namen verschlüsselter Dateien an und legt in jedem Verzeichnis, in dem Dateien verschlüsselt werden, eine Lösegeldforderung ab. Die Lösegeldforderung enthält einen TOR-Link und einen Code, mit dem sich das Opfer in ein Chat-System einloggen kann, um das Lösegeld auszuhandeln.
In einem Fall wurde die Akira-Ransomware-Datei Ende Dezember 2023, konkret am 28.12.2023 um 14:49:57 UTC, kompiliert und in C++ entwickelt.
Abbildung 5: Datum und Uhrzeit der Kompilierung der Akira-Ransomware – 28. Dezember 2023 (Quelle: X-Force)
Nach der Ausführung erstellt Akira-Ransomware eine Protokolldatei im aktuellen Verzeichnis. Der Dateiname der Protokolldatei basiert auf der aktuellen lokalen Systemzeit und hat folgendes Format: „Log-<Day>-<Month>-<Year>-<Hour>-<Minute><Second>-.txt“. Tritt beim Verschlüsseln einer Datei ein Fehler auf, schreibt Akira eine Fehlermeldung in die Protokolldatei. Zusätzliche Informationen zu den Befehlszeilenparametern des Programms werden ebenfalls in die Protokolldatei geschrieben. Sobald die Protokolldatei erstellt ist, beginnt Akira mit dem Parsen seiner Befehlszeilenargumente. Die folgenden Kommandozeilenargumente werden von der Windows-Version von Akira akzeptiert:
Scrollen Sie, um die vollständige Tabelle anzuzeigen
Abbildung 6: Von Akira-Ransomware verwendete Befehlszeilenargumente (Quelle: X-Force)
Nachdem die Befehlszeilenargumente analysiert wurden, löscht Akira alle Schattenkopien mithilfe des PowerShell-Befehls: „powershell.exe -Command ‚Get-WmiObject Win32_Shadowcopy | Remove-WmiObject‘“. Dieser Befehl wird über Component Object Model (COM)-Objekte ausgeführt, um eine Erkennung zu verhindern. Zusätzlich kann Akira versuchen, Prozesse mit den folgenden Namen zu beenden:
Scrollen Sie, um die vollständige Tabelle anzuzeigen
Abbildung 7: Prozesse, die Akira-Ransomware zu beenden versucht (Quelle: X-Force)
Sobald diese Prozesse beendet sind, beginnt Akira mit der Verschlüsselung. Dateien werden mit ChaCha20 oder KCipher-2 verschlüsselt. Dateien, die größer als 2 MB sind, werden blockweise verschlüsselt, während kleinere Dateien basierend auf dem in den Kommandozeilenargumenten angegebenen Verschlüsselungsprozentsatz verschlüsselt werden. Standardmäßig werden 50 % jeder Datei unter 2 MB verschlüsselt. Jede verschlüsselte Datei erhält die Dateiendung .akira. Akira verschlüsselt keine Dateien mit den folgenden Erweiterungen:
Die Linux-Version von Akira verwendet dieselbe Liste von Verzeichnissen und Dateierweiterungen wie die Windows-Version, um gezielte Dateien zu filtern, auch wenn diese auf Windows-Systemen statt auf Linux zu finden sind. Akira verschlüsselt keine Dateien in den folgenden Ordnern:
Unternehmen können verschiedene Maßnahmen ergreifen, um ihre Abwehr gegen die Akira-Ransomware zu stärken. Auch wenn es keine Garantie dafür gibt, einen Ransomware-Angriff – auch nicht durch die Akira-Bedrohungsakteure – zu verhindern, kann die Umsetzung dieser Maßnahmen es den Akira-Bedrohungsakteuren erschweren, ihre bevorzugten Techniken anzuwenden:
Darüber hinaus empfiehlt X-Force, proaktive und abhilfende Maßnahmen zu nutzen, die von CISA im Bericht vom 18. April bereitgestellt wurden.
Um zu erfahren, wie IBM X-Force Sie in allen Fragen der Cybersicherheit unterstützen kann, einschließlich Incident Response, Threat Intelligence oder Offensive Security Services, vereinbaren Sie hier einen Termin.
Sollten Sie Probleme mit der Cybersicherheit oder einen Vorfall haben, wenden Sie sich an X-Force, um Unterstützung zu erhalten: US-Hotline 1-888-241-9812 | Globale Hotline (+001) 312-212-8034.
Scrollen Sie, um die vollständige Tabelle anzuzeigen