Umfangreicher Cyberangriff durch Akira trifft weltweit mehr als 250 Organisationen

Die Akira-Ransomwaregruppe, die seit etwa einem Jahr aktiv ist, hat erfolgreich die Systeme von mehr als 250 Organisationen weltweit kompromittiert und hat geschätzte 42 Millionen Dollar an Lösegeld gefordert.

Dies ergab sich aus einer gemeinsamen Untersuchung von wichtigen Cybersicherheitsbehörden, einschließlich des amerikanischen Federal Bureau of Investigation (FBI).

Der Fokus liegt auf Einrichtungen kritischer Infrastruktur

Seit März 2023 konzentriert sich die Akira-Ransomware hauptsächlich auf Unternehmen und Einrichtungen der kritischen Infrastruktur in Nordamerika, Europa und Australien. Ursprünglich zielte die Ransomware auf Windows-Systeme ab, aber kürzlich hat das FBI auch eine Linux-Variante von Akira entdeckt.

In einer gemeinsamen Cybersicherheitswarnung des FBI, der Cybersecurity and Infrastructure Security Agency (CISA), des European Cybercrime Centre (EC3) von Europol und des niederländischen Nationalen Cyber Sicherheitszentrums (NCSC-NL) wird vor dieser zunehmenden Bedrohung gewarnt. Die Beratung, die darauf abzielt, die Bedrohung der Öffentlichkeit bekannt zu machen, enthüllt, dass Akira Zugang durch virtuelle private Netzwerke (VPNs) erhält, die nicht mit Multi-Faktor-Authentifizierung (MFA) gesichert sind.

Systeme werden gesperrt und Lösegeld gefordert

Die Angreifer extrahieren Anmeldeinformationen und andere sensible Daten, bevor sie die Systeme sperren und eine Lösegeldforderung anzeigen. Das Besondere an Akira ist, dass während des Angriffs keine Lösegeldforderung hinterlassen wird; diese wird erst bekannt, nachdem das Opfer Kontakt mit den Tätern aufnimmt.

Zahlungen werden in Bitcoin verlangt, und die Malware ist darauf ausgelegt, Sicherheitssoftware nach dem ersten Zugang zu umgehen. Die Beratung umfasst Empfehlungen wie die Implementierung von MFA, das Erstellen eines Wiederherstellungsplans, das Filtern von Netzwerkverkehr, das Deaktivieren ungenutzter Ports und das Anwenden systemweiter Verschlüsselung.

Sicherheitsprotokolle müssen regelmäßig getestet werden

Die gemeinsamen Behörden betonen die Wichtigkeit des regelmäßigen Testens von Sicherheitsprotokollen im großen Maßstab in einer Produktionsumgebung, unter Verwendung von MITRE ATT&CK-Techniken zur Gewährleistung der Wirksamkeit. Frühere Warnungen des FBI, der CISA, des NCSC und der amerikanischen National Security Agency (NSA) weisen auch auf Angriffe auf Krypto-Wallets und -Börsen hin, wobei speziell Daten von großen Akteuren wie Binance, Coinbase und Trust Wallet ins Visier genommen wurden.

Der Bericht betont die Ernsthaftigkeit der Situation und fordert Organisationen auf, ihre Cyberabwehr gegen solch fortgeschrittene Bedrohungen zu verstärken.