© Jan Miks / 123RF.com

Seit März 2023 macht die Ransomware Akira täglich mit immer neuen Angriffen Schlagzeilen. Im August 2023 brachte sie es unter die Top 10 der Ransomware-Attacken. Die neueste Variante befällt nun auch Linux-Systeme.

Ransomware verschlüsselt in der Regel Dateien oder sperrt den gesamten Zugriff auf das System. Anschließend zeigt sie eine Lösegeldforderung an: Das Opfer muss einen bestimmten Geldbetrag zahlen, um den Key für das Entschlüsseln der Daten zu erhalten oder den Zugriff zurückzuerlangen. Die Forderungen variieren und sollen meist in Kryptowährung bezahlt werden, um die Anonymität der Angreifer zu wahren. Opfer werden häufig mit der Drohung unter Druck gesetzt, dass ihre Daten ohne die Zahlung dauerhaft verloren sind.

Wie andere aktuelle Ransomware basiert auch Akira auf dem Ransomware-as-a-Service-Modell. Dabei vermieten oder verkaufen Cyberkriminelle Ransomware-Dienste und entsprechende Werkzeuge über das Darknet oder das Internet an Interessenten. So können auch Personen ohne umfangreiche technische Kenntnisse oder Fähigkeiten Ransomware-Angriffe ausführen, indem sie auf vorgefertigte Software und Dienstleistungen zurückgreifen.

Akira nutzt eine Schwachstelle in der Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense aus. Es attackiert Cisco-ASA-VPNs ohne Multifaktorauthentifizierung [1]. Ciscos VPN-Lösungen kommen in vielen Branchen zum Einsatz, um Remote-Mitarbeitern eine sichere, verschlüsselte Datenübertragung ins Unternehmensnetzwerk zu ermöglichen. Cisco gab kürzlich bekannt, dass es tatsächlich eine Sicherheitslücke (CVE-2023-20269) in ASA-Geräten gibt. Sie erlaubt entfernten Angreifern einen Brute-Force-Angriff, um gültige Kombinationen von Benutzername und Passwort zu identifizieren. Außerdem lässt sich darüber eine nicht autorisierte SSL-VPN-Sitzung ohne Client mit einem authentifizierten entfernten Angreifer etablieren. Daneben verwendet Akira Remote-Zugriffs-Tools wie RustDesk, um Zugang zu bestimmten Netzwerken zu erhalten. Die inzwischen geschlossene Sicherheitslücke entsteht aufgrund einer unsachgemäßen Trennung der Authentifizierung, Autorisierung und Abrechnung (AAA) zwischen der Funktion für den Remote-Zugriff auf das VPN und den HTTPS-Management- sowie Site-to-Site-VPN-Funktionen.

Bis Mitte September 2023 hatte Akira bereits mehr als 100 Opfer ins Visier genommen, hauptsächlich in den USA und in Großbritannien. Die Attacken verteilten sich über eine breite Palette von Branchen, darunter Bildung, Finanzen, Immobilien, Fertigung und Beratung. Die Akira-Ransomware-Angreifer wenden verschiedene Erpressungstechniken an. Sie verfügen über eine eigene, separate Leak-Website im Darknet. Sie listet die Opfer auf und offeriert die gestohlenen Daten, falls ein Opfer den Lösegeldforderungen nicht nachkommt. Eine Notiz informiert die Opfer darüber, wie sie über ein Tor-basiertes Portal über das Lösegeld verhandeln können.

Avast veröffentlichte bereits vor einer Weile ein kostenloses Entschlüsselungswerkzeug für Akira. Allerdings war es nur gegen frühere Versionen der Ransomware wirksam. Akira wird kontinuierlich weiterentwickelt und erhält in jeder Kampagne neue Funktionen und Fähigkeiten. In jüngerer Zeit begann die Schadsoftware, ihre Reichweite über Windows hinaus auf Linux-basierte Systeme auszudehnen, und nahm zudem virtuelle Maschinen in Vmware ESXi ins Visier. Sicherheitsforscher vermuten, dass es sich bei der Ransomware Megazord um eine neue Version oder ein Rebranding von Akira handelt, da sie die Infrastruktur von Akira nutzt. (jcb)