Akira
Akira ist bekannt für gezielte Angriffe auf Unternehmen verschiedenster Branchen, bei denen die Gruppe Daten verschlüsselt und Lösegeld fordert. Akira nutzt oft Double Extortion: Sie stiehlt zunächst Daten und droht mit ihrer Veröffentlichung, sollte kein Lösegeld gezahlt werden.
Typische Infektionswege sind Phishing-E-Mails oder das Ausnutzen ungepatchter Schwachstellen in Remote-Zugängen.
Typische Infektionswege sind Phishing-E-Mails oder das Ausnutzen ungepatchter Schwachstellen in Remote-Zugängen.
Akteur
- Ransomware-Akteur
- Seit März 2023 aktiv
- Herkunft: Ungesichert, vermutlich verbunden mit 2022 aufgelöster Gruppe Conti (Russland)
- Überschneidungen mit Hive legen nahe, dass es sich um Affiliates der im Januar 2023 zerschlagenen Gruppierung handelt
Eingesetzte Malware
- Ransomware
Angriffsmethoden
Auszug aus Wissensdatenbank MITRE ATT&CK®:
- T1078, T1190: Entry via compromised credentials (e.g. VPN) or exploits in internet-accessible applications
- T1136.002: Persistence through new domain accounts on systems
- T1059: Command and Scripting Interpreters
- T1562.001 Impairs Defenses via PowerTool or KillAV to terminate AV
- T1003.001 Credential Dumping from memory (e.g. Mimikatz)
- T1082, T1069.002, T1018: Gatrehs info on local + remote systems; domain
- T1219: Establishes remote access to target systems (e.g. AnyDesk)
- T1570: Lateral movement via RDP
- T1567.002, T1048.003: Data Exfiltration via RClone, FileZilla, WinSCP
- T1490, T1486: Deletes shadow copies and encrypts files, inhibiting recovery
Weitere Informationen
- Angriffsziele: Unternehmen und staatliche Stellen weltweit, auch Deutschland (bspw. Kommunen) mit Fokus auf mittlere und große Unternehmen, insbesondere in folgenden Bereichen:
- Gesundheit
- Bildung
- IT
- Finanzdienstleistungen
- Zweck: Kryptowährungen erbeuten
- Rapider Aufstieg zu Top-10 Ransomware-Gruppierung
- Multi-Plattform-Malware (Windows, Linux)