Akira

Überblick

Die Ransomware-Gruppe Akira gilt als vergleichsweise junge Erscheinung in der Bedrohungslandschaft, deren mutmaßliche Verbindungen zur früheren CONTI-Gruppe in Fachkreisen viel diskutiert werden. Nach dem Ende der CONTI-Operationen wechselten mehrere Beteiligte zu eigenständigen Kampagnen wie Royal oder BlackBasta; auch Akira wird in diesem Umfeld verortet. Berichten zufolge arbeiten Akira-Beteiligte zudem mit weiteren Ransomware-Operationen wie Snatch und BlackByte zusammen, da ein offen zugängliches Werkzeugverzeichnis eines Akira-Akteurs mit Bezügen zu Snatch identifiziert wurde. Die erste Schadprogramm-Variante war in C++ geschrieben, hängte verschlüsselten Dateien die Endung „.akira“ an und hinterließ eine Erpressernachricht mit dem Namen „akira_readme.txt“; sie beruhte teilweise auf dem CONTI-V2-Quellcode. Nachdem ein Entschlüsselungswerkzeug verfügbar geworden war, folgte eine in Rust geschriebene Variante unter dem Namen „megazord.exe“, die verschlüsselten Dateien die Endung „.powerranges“ vergibt. Der Erstzugang erfolgt überwiegend über Angriffe auf VPN-Geräte mit einfacher Authentisierung.

Taktiken & Vorgehen

Für den Erstzugang setzt Akira auf kompromittierte VPN-Zugangsdaten sowie auf gültige Domänenkonten und nutzt Schwachstellen in öffentlich erreichbaren Cisco-Geräten und Fernzugriffsdiensten aus. Zur Ausführung kommen Windows Management Instrumentation, PowerShell, die Windows-Eingabeaufforderung sowie Dienstausführung zum Einsatz; die Verschlüsselung lässt sich über Parameter wie „-n“ oder „-s“ steuern. Zur Verankerung legen die Akteure lokale und Domänenkonten an. Zur Abwehrumgehung werden Registry-Einträge verändert und Schutzsoftware mit Werkzeugen wie PowerTool sowie über den Zemana-Treiber beendet. Zugangsdaten werden mit Mimikatz, LaZagne und DonPAPI aus dem LSASS-Speicher ausgelesen. Zur Erkundung dienen Advanced IP Scanner, Masscan, SharpHound, AdFind, „net“ und „nltest“, die Seitwärtsbewegung erfolgt über RDP. Daten werden mit FileZilla, WinSCP und RClone abgezogen; für den Fernzugriff dienen AnyDesk, Radmin, RustDesk, Cloudflared, MobaXterm und Ngrok. Schließlich werden Dateien verschlüsselt und Schattenkopien gelöscht.

Schutzmaßnahmen

Fernzugänge über VPN sollten durch Mehr-Faktor-Authentisierung abgesichert werden, da der Erstzugang überwiegend über VPN-Geräte mit einfacher Authentisierung erfolgt; öffentlich erreichbare Cisco-Geräte und Fernzugriffsdienste sollten zeitnah aktualisiert werden. Der Zugriff über RDP sollte eingeschränkt und überwacht werden, um Seitwärtsbewegungen zu erschweren. Der Speicherbereich des LSASS-Prozesses sollte vor dem Auslesen durch Werkzeuge wie Mimikatz oder LaZagne geschützt werden. Die Manipulation von Schutzsoftware über anfällige Treiber sollte durch Sperrlisten verwundbarer Treiber unterbunden werden. Der Einsatz nicht autorisierter Fernwartungssoftware wie AnyDesk, RustDesk oder TeamViewer sowie ausgehender Datenverkehr zu Werkzeugen wie RClone, FileZilla und WinSCP sollten erkannt und blockiert werden. Lokale und Domänenkonten sollten auf unbefugte Neuanlagen überwacht werden.