Die Bedrohung durch die Akira-Ransomware: Ein unverzichtbarer Leitfaden
Die Ransomware „Akira“ hat sich in den letzten Jahren rasch zu einer der schwerwiegendsten Cyberbedrohungen entwickelt und zielt auf Unternehmen aus verschiedenen Branchen ab. Laut einer Untersuchung der CISA griff die Akira-Ransomware-Gruppe zwischen März 2023 und Januar 2024 über 250 Unternehmen an und forderte Lösegeld in Höhe von insgesamt 42 Millionen US-Dollar.
Unternehmen jeder Größe müssen die Funktionsweise dieser Ransomware verstehen, um ihre Abwehrmaßnahmen zu stärken und Risiken zu minimieren. Lesen Sie diesen Beitrag, um mehr über die Bedrohung durch die Akira-Ransomware, ihren Lebenszyklus und praktische Strategien zur Abwehr künftiger Angriffe zu erfahren.
Die Bedrohung durch die Akira-Ransomware verstehen
Die Akira-Ransomware ist eine gefährliche Ransomware-Variante, die ein Modell der doppelten Erpressung anwendet. Sie stiehlt sensible Daten, bevor sie diese verschlüsselt, und droht mit deren Veröffentlichung, falls das Lösegeld nicht gezahlt wird. Diese Ransomware tauchte im März 2023 auf und wird über das Ransomware als Dienstleistung Modell verbreitet.
Die Zahl der Unternehmen, die Berichten zufolge Opfer dieser Ransomware geworden sind, steigt und umfasst namhafte Organisationen in verschiedenen Ländern (insbesondere in Nordamerika, Europa und Australien). Die Liste der Opfer der Akira-Ransomware enthält zudem Unternehmen aus unterschiedlichen Branchen (Bildungswesen, Finanzwesen, Fertigung, Immobilien, Rechtswesen, Gesundheitswesen, kritische Infrastruktur sowie kommunale/staatliche Dienste).
Die typischen modernen Ransomware-Kampagnen von Akira sind sehr zielgerichtet, technisch ausgefeilt und finanziell motiviert. Diese Faktoren verbinden eine heimliche Infiltration mit verheerenden Auswirkungen auf den Geschäftsbetrieb.
Neben Windows-Rechnern konzentriert sich Akira intensiv auf Angriffe auf ESXi-Hosts, um den Betrieb virtueller Maschinen zu stören und diese durch die Verschlüsselung von Daten zu zerstören. Diese Strategie macht die Ransomware extrem verheerend und legt eine Organisation lahm, die eine virtuelle Infrastruktur für ihren Geschäftsbetrieb nutzt. Etwa 50 % der Angriffe im Jahr 2024 richteten sich unter Ausnutzung mehrerer Schwachstellen gegen VMware ESXi.
Ursprünglich wurde Akira in C++ entwickelt, insbesondere die Windows-Version; IBM X-Force entdeckte im Dezember 2023 ein in C++ kompiliertes Sample. Die Version „Akira_v2“ ist in Rust geschrieben, was die Funktionalität und die Widerstandsfähigkeit gegen Analysen verbessert. Es gibt sowohl Windows- als auch Linux-Varianten, die auf die jeweiligen Plattformen zugeschnitten sind (CryptoAPI vs. Crypto++).
Lebenszyklus eines Akira-Ransomware-Angriffs: Schritt für Schritt
Um sich vor Akira-Ransomware-Angriffen zu schützen, sollten Sie verstehen, wie diese Ransomware in den verschiedenen Phasen eines Cyberangriffs funktioniert. Auf diese Weise können Sie vorbeugende Maßnahmen für die Datensicherheit ergreifen.
Schritt 1 – Erster Zugriff über Remote-Zugangspunkte
Die Akteure hinter der Akira-Ransomware verschaffen sich häufig über Remote-Zugangspunkte einen ersten Zugriff, indem sie exponierte oder schlecht gesicherte Dienste ausnutzen. Diese Strategie ermöglicht es ihnen, auf das Zielnetzwerk zuzugreifen, ohne es physisch zu berühren.
Ausnutzung anfälliger VPN- und RDP-Dienste
Angreifer verschaffen sich häufig Zugang zum Netzwerk eines Opfers, indem sie Zero-Day- und ungepatchte Schwachstellen in gängigen Virtual-Private-Network-Produkten (VPN) (Gateways) und Software für den Fernzugriff über das Remote Desktop Protocol (RDP) ausnutzen.
Beispiele für die von Akira genutzten Produkte und Schwachstellen:
- Cisco ASA / FTD – wie beispielsweise CVE-2023-20269, eine Schwachstelle zur Rechteausweitung im VPN-Authentifizierungsprozess.
- SonicWall Secure Mobile Access (SMA)-Appliances – insbesondere, wenn sie ungepatcht sind oder keine Multi-Faktor-Authentifizierung (MFA) verwenden.
- Fortinet FortiGate SSL-VPN-Schwachstellen – darunter auch ältere Schwachstellen wie CVE-2018-13379, die auf nicht gewarteten Geräten nach wie vor ausgenutzt werden.
Die Taktiken für den unbefugten Zugriff auf das Netzwerk eines Opfers umfassen die folgenden Elemente:
- Das Internet nach Geräten mit veralteter Firmware absuchen.
- Die Schwachstelle ausnutzen, um die Authentifizierung zu umgehen oder Code auszuführen.
- Gestohlene Sitzungstoken oder im Speicher abgelegte Anmeldeinformationen im Klartext verwenden. Die Akteure der Akira-Ransomware können einen Mini-Dump des LSASS-Prozessspeichers (Local Security Authority Subsystem Service) erstellen, um zusätzliche Anmeldeinformationen zu sammeln.
- Direkte Brute-Force-Angriffe auf schwache Konten.
- Verwendung von durchgesickerten Anmeldeinformationen aus Dark-Web-Marktplätzen.
- Ausnutzung von Schwachstellen im RDP-Gateway oder veralteten Windows-Remotedesktopdiensten.
In einigen Vorfällen nutzte die Akira-Ransomware-Gruppe:
- AnyDesk, TeamViewer oder VNC mit schwachen oder wiederverwendeten Passwörtern.
- MSP-RMM-Tools (Remote Monitoring and Management) wurden eingesetzt, wenn MSP-Konten kompromittiert wurden.
- Cloud-basierte Verwaltungskonsolen (Microsoft 365, AWS) zur Bereitstellung von Skripten innerhalb des Netzwerks.
Hinweis: Microsoft hat obligatorische Multi-Faktor-Authentifizierung implementiert, um dieses Risiko für Microsoft 365-Administratoren zu verringern.
Kompromittierte Anmeldeinformationen
Angreifer verwenden häufig gestohlene Anmeldeinformationen aus früheren Angriffen. Deshalb ist es wichtig, eindeutige Anmeldeinformationen zu verwenden und Sicherheitsmaßnahmen einzuhalten. Diese Methode ermöglicht es den Angreifern der Ransomware „Akira“, auf das Netzwerk eines Opfers zuzugreifen, ohne Sicherheitslücken auszunutzen. Dadurch erscheinen die Angreifer beim Zugriff auf das Netzwerk als legitime Benutzer, ohne dass andere Maßnahmen zur Sicherheit umgangen werden müssen.
Um an die Anmeldeinformationen zu gelangen, wenden die Angreifer zudem herkömmliche Taktiken an, darunter:
- Phishing und Spear-Phishing-E-Mails zum Abfangen von VPN-Benutzernamen und -Passwörtern.
- Keylogger/Informationsdiebe (wie z. B. RedLine Stealer) auf den privaten Geräten von Remote-Benutzern.
Schwachstellen werden ausgenutzt:
- Keine Multi-Faktor-Authentifizierung (MFA) bei VPN- und E-Mail-Anmeldungen.
- Schwache Passwörter, die per Brute-Force geknackt werden können.
- MFA-Fatigue-Angriffe (wiederholte Anmeldeaufforderungen, bis ein Benutzer zustimmt).
Cyberkriminelle können einen Brute-Force-Angriff durchführen, wenn keine passenden Anmeldeinformationen gefunden werden. Diese Angriffsart zielt in der Regel auf RDP- und SSH-Dienste ab und kann erfolgreich sein, wenn weit verbreitete oder schwache Passwörter verwendet werden.
Eine typische Fernzugriffskette für die Ransomware „Akira“ sieht wie folgt aus:
Internetscan → Identifizierung eines exponierten Dienstes → Ausnutzung einer VPN-Schwachstelle oder Diebstahl von Anmeldeinformationen → Authentifizierung beim Remote-Dienst → Platzierung von Tools zur Erkundung und zum Sammeln von Anmeldeinformationen → Laterale Bewegung
Schritt 2 – Persistenz und Rechteausweitung
Eine Kombination aus legitimen ADMIN-Tools, Fehlkonfigurationen und benutzerdefinierten Skripten ermöglicht es der Ransomware „Akira“, langfristigen Zugriff aufrechtzuerhalten und mit vollen Systemrechten zu agieren. Persistenz bedeutet, auch nach einer Erkennung oder einem Neustart in der Umgebung des Opfers verbleiben zu können. Nach dem Zugriff auf die Netzwerke sichern sich die Angreifer ihre Persistenz durch Techniken, die ihre Aktionen unentdeckt lassen, darunter das Anlegen neuer Konten und die Ausweitung von Berechtigungen.
Anlegen neuer Konten
Bei der Infizierung von Windows-Systemen fügt die Akira-Ransomware lokale Windows-Administratoren oder Domänenadministratoren hinzu, um sich einen dauerhaften Zugriff zu sichern. Manchmal tarnt sie sich unter generischen Namen ( ADMIN , helpdesk ). In Active-Directory-Umgebungen erstellt Akira versteckte Konten mit delegierten Rechten. Ist MFA aktiviert, können die Angreifer manchmal aktive Sitzungstoken oder Cookie-Werte aus Browsern stehlen, um die erneute Authentifizierung zu umgehen.
Konfigurieren von geplanten Aufgaben und Diensten
Die Akira-Ransomware erstellt geplante Aufgaben, die beim Systemstart schädliche Skripte oder Reverse-Shells ausführen. Then, the ransomware modifies services to launch its tools and renames malicious services to look like legitimate operating system (OS) services.
Installing remote access tools
Akira ransomware deploys AnyDesk, TeamViewer or RMM agents to retain access even if VPN credentials are revoked. It configures them to auto-start and hide from the taskbar. In Windows, registry settings are edited by modifying startup items and registry keys. Akira alters:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
and
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
These techniques ensure payloads reload on reboot.
After performing these actions, Akira ransomware clears system logs to erase records that could point to its activity. These tactics make it more difficult to identify an attack. Persistence ensures Akira can return even after “cleanup” attempts, slowly exfiltrate data over time for double extortion and deploy the final ransomware payload only after getting full network control.
Privilege escalation
Privilege escalation enables Akira to transition from normal user rights to system-level or domain-level control. Akira ransomware can exploit local privilege escalation vulnerabilities by using public exploits for unpatched Windows flaws (for example, CVE-2021-34527 PrintNightmare). It also targets kernel-level vulnerabilities to gain SYSTEM privileges.
Credential dumping includes dumping Windows cached credentials, domain admin hashes and LSA secrets. Once domain admin credentials are stolen, AD can be fully controlled. Akira uses stolen NTLM hashes or Kerberos tickets to impersonate privileged users without knowing their plaintext passwords. With privilege escalation, Akira ransomware can make maximum impact when encrypting because of access to backups, shadow copies and sensitive servers, which can turn off defenses across the domain.
Step 3 – Lateral movement and reconnaissance
Akira ransomware operators perform lateral movement and reconnaissance methodically. While most ransomware uses the “fire-and-forget” approach, Akira behaves more like an advanced human-led intrusion. It can even disable some security protection software.
Once inside, the attackers aim to identify high-value data and systems, with the goal of causing further damage to the target organization. Der nächste Schritt besteht darin, sich im gesamten Netzwerk Zugang zu verschaffen, bevor die Verschlüsselung erfolgt. Bevor Akira sich also seitlich ausbreiten kann, muss er wissen, was sich im Netzwerk befindet und wo sich die wertvollen Ziele befinden.
Das Scannen des Netzwerks ist der erste Schritt der Erkundung. Durch die Netzwerkzuordnung kann die Ransomware ihre Ziele für den ersten Angriff identifizieren. Integrierte Tools wie ping , arp -a und netstat werden verwendet, um aktive Hosts zu finden. Andere Scanner, wie Advanced IP Scanner oder nmap , können Subnetze abbilden. PowerShell-Skripte fragen Active Directory nach der Domänenstruktur, Gruppenmitgliedschaften, der Hierarchie der Organisationseinheiten (OU) und den Standorten von Administratorkonten ab.
Weiter identifiziert die Ransomware „Akira“ kritische Ressourcen. Die Ziele sind Dateiserver, Domänencontroller, NAS-Geräte und Datenbankserver. Sie sucht nach einer Infrastruktur für Backups, um diese später zu deaktivieren oder zu verschlüsseln, und sucht nach freigegebenen Laufwerken und Cloud-Synchronisierungsordnern.
Akira ermöglicht den Fernzugriff auf Dienste, selbst wenn diese deaktiviert sind:
- RDP (Remote Desktop Protocol) – oft nach der Aktivierung über GPO (Group Policy Objects), falls es deaktiviert ist.
- KMU (Server Message Block) – zum Kopieren von Tools und Payloads zwischen Hosts.
- WMI (Windows Management Instrumentation) – zum Ausführen von Befehlen aus der Ferne, ohne RDP-Protokolle auszulösen.
Akira nutzt gestohlene NTLM-Hashes oder Kerberos-Tickets, um sich auf anderen Systemen zu authentifizieren, ohne das Passwort zu kennen. Durch das Auslesen von Anmeldeinformationen können AV-/EDR-Agenten mithilfe gestohlener ADMIN-Rechte deaktiviert werden.
Diese Ransomware nutzt legitime Tools wie:
- PsExec (von Sysinternals), um Befehle auf Remote-Systemen auszuführen.
- PowerShell Remoting um Payloads auszuführen, ohne sie auf die Festplatte zu schreiben.
- Net use um Remote-Freigaben einzubinden und Dateien zu exfiltrieren.
Akira kann bereits in der Umgebung bereitgestellte MSP-RMM-Tools (ConnectWise, AnyDesk usw.) nutzen, um sich unbemerkt auf andere Rechner auszubreiten, ohne Warnmeldungen auszulösen. Managed Services Provider sollten vorsichtig sein und Herausforderungen im Bereich Cybersicherheit bei MSPs umsetzen, um ihre eigenen Daten und die ihrer Kunden zu schützen.
Ransomware-Tools und Payloads werden auf andere Rechner kopiert, um die weitere Phase des Angriffs vorzubereiten.
Durch Aufklärung und laterale Bewegung kann die Ransomware die Auswirkungen der Verschlüsselung maximieren, indem sie gleichzeitig so viele Rechner wie möglich als Ziele ins Visier nimmt. Dadurch kann die Ransomware auf sensible Daten zugreifen, um eine doppelte Erpressung (Datendiebstahl + Verschlüsselung) durchzuführen, und Backups zerstören, um die Opfer zur Zahlung des Lösegelds zu zwingen.
Schritt 4 – Datenexfiltration
Die Ransomware „Akira“ beginnt häufig damit, sensible Daten zu sammeln und zu komprimieren, um deren Übertragung zu vereinfachen und sie zu verschleiern. Zu den häufig verwendeten Tools gehören WinRAR , um Dateien in Archive (RAR-Format) zu komprimieren. Angreifer können außerdem FileZilla , WinSCP und rclone verwenden, um gestohlene Daten zu verpacken und zu übertragen. Diese Tools sind legitim (vertrauenswürdig und auf der Whitelist) und wirken nicht verdächtig wie spezifische, selbst erstellte Tools. Bei einigen Angriffen wurden Daten direkt auf von den Angreifern konfigurierte MEGA-Cloud-Speicher hochgeladen.
WinRAR-Archive wurden mithilfe eines Chrome-Webbrowsers ( Chrome.exe ) exfiltriert, wobei komprimierte Dateien an externe IP-Bereiche gesendet wurden, um legitimen Datenverkehr vorzutäuschen. Akira leakt Daten mithilfe verschiedener Tools, um diesen Vorgang schnell und effektiv zu gestalten. Bei einem der Akira-Ransomware-Angriffe komprimierten die Angreifer 34 GB an Daten mit WinRAR und sendeten diese an eine externe Ressource. Nachdem sie sich Zugang zum Netzwerk der Organisation verschafft hatten, benötigten sie etwa zwei Stunden, um den Angriff abzuschließen.
Schritt 5 – Verschlüsselung und Betriebsstörung
Akira verwendet ein hybrides Verschlüsselungsmodell. Diese Ransomware verschlüsselt Daten zunächst mit einem schnellen symmetrischen Verschlüsselungsalgorithmus (ChaCha20 oder KCipher-2) und sichert den symmetrischen Schlüssel anschließend mithilfe eines fest codierten öffentlichen RSA-Schlüssels, typischerweise RSA-4096. Jede betroffene Datei erhält den symmetrischen Schlüssel als Anhang am Ende und wird mit dem eingebetteten RSA-Schlüssel verschlüsselt. Akira verschlüsselt Dateien möglicherweise teilweise blockweise statt als Ganzes, um die Verschlüsselung zu beschleunigen und gleichzeitig den Schaden zu maximieren. Beispielsweise werden kleine Dateien (< 2 MB) möglicherweise nur zu 50 % verschlüsselt, während größere Dateien zur selektiven Verschlüsselung in mehrere komprimierte Blöcke aufgeteilt werden.
Verschlüsselte Dateien erhalten die Erweiterung „. akira “ (sowie andere wie . powerranges oder . akiranew in neueren Varianten). Die Ransomware schließt systemkritische Dateien und Verzeichnisse bewusst aus, wie z. B. . exe , . dll , Systemordner, Recycle Bin und Windows , um die Systemstabilität bis zum Abschluss des Vorgangs aufrechtzuerhalten. Akira löst eine Störung aus, indem es alle Windows-Volume-Schattenkopien mithilfe von PowerShell (oder WMI) löscht und so die Rollback-Optionen für die Opfer effektiv deaktiviert.
Die Ransomware „Akira“ geht besonders aggressiv gegen VMware ESXi Hypervisoren vor. Sie kann ganze Hosts verschlüsseln, um mehrere Virtuelle Maschinen in einem Angriff lahmzulegen, Sicherheitsdienste deaktivieren, VMs anhalten und ESXi-Anmeldeinformationen manipulieren, um Administratoren auszuschließen.
Sobald die Verschlüsselung fertiggestellt ist, hinterlässt die Akira-Ransomware in jedem betroffenen Verzeichnis Lösegeldnotizen, die üblicherweise akira_readme.txt oder fn.txt heißen. Diese Dateien enthalten einen eindeutigen Opfercode und einen TOR-basierten Verhandlungslink, drohen mit dem Freigeben von Daten und fordern Lösegeld in Bitcoin.
Angriffe auf ESXi-Hosts
Während Windows-Systeme die primären Ziele für den Start des Angriffs und dessen Ausbreitung über das Netzwerk zur Infizierung anderer Rechner sind, sind auch ESXi-Hosts häufige Ziele. Schauen wir uns an, wie die Akira-Ransomware ESXi-Hosts angreift.
- Nach dem Zugriff auf das Netzwerk suchen die Angreifer nach ESXi-Hosts, die mit vCenter verbunden oder direkt über SSH erreichbar sind.
- Die Akira-Ransomware kann anfällige Versionen von vCenter/ESXi ausnutzen. Fehlen Patches, können bekannte Schwachstellen wie CVE-2021-21972, CVE-2021-21985 und CVE-2020-3992 ausgenutzt werden.
- Sobald die Angreifer über SSH auf ESXi zugreifen (was auf Hosts in der Regel für ADMIN-Zwecke aktiviert ist), laden sie den Akira-Linux-ELF-Verschlüsseler hoch und führen ihn direkt auf dem Host aus. Die Ransomware deaktiviert die ESXi-Sicherheitsdienste.
- Die Ransomware bindet Datenspeicher-Volumes auf einem anderen System ein oder nutzt integrierte Tools ( vmkfstools , scp ), um . vmdk und . vmx Dateien zu kopieren und so Daten aus Virtuellen Maschinen zu stehlen.
- Sobald die Daten gestohlen sind, fährt Akira die Virtuellen Maschinen mit folgendem Befehl herunter:
vim-cmd vmsvc/getallvms
vim-cmd vmsvc/power.off
und verschlüsselt Dateien auf den Datenspeichern mit dem Programm für die Verschlüsselung, ähnlich wie unter Linux.
So erkennen und wehren Sie sich gegen die Akira-Ransomware
Erkennungsstrategien sind wesentliche Präventivmaßnahmen, die einen komplexen Ansatz erfordern und mehrere Aktionen umfassen sollten.
- Überwachung des Endpunkt- und Netzwerkverhaltens. Verwenden Sie EDR/XDR-Systeme (Endpoint Detection and Response/Extended Detection and Response), um verdächtiges Verhalten zu erkennen (Deaktivierung von Sicherheitstools, Löschen von Schattenkopien, ungewöhnliche laterale Bewegungen, LSASS-Dumps usw.). Achten Sie außerdem auf eine ungewöhnliche Nutzung von Dateikomprimierungsprogrammen.
- Halten Sie Ausschau nach Fernwartungsprogrammen (AnyDesk, RustDesk, Radmin), Tunneling-Tools (Ngrok, Cloudflare Tunnel) oder Methoden zum Diebstahl von Anmeldeinformationen (Mimikatz, LaZagne). Wenn weder Sie noch Ihre Kollegen diese Programme installiert haben, könnte dies ein frühes Anzeichen für einen Ransomware-Angriff sein.
- Überwachen Sie die Bereitstellung verdächtig signierter Treiber, wie beispielsweise rwdrv.sys (ThrottleStop), die Akira nutzt, um bösartige Treiber ( hlpdrv.sys ) zu laden und Malware-Schutzsoftware zu deaktivieren. Akira kann signierte Treiber missbrauchen; diese Angriffe werden als BYOVD-Angriffe (Bring Your Own Vulnerable Driver) bezeichnet.
- Achten Sie auf das massenhafte Herunterfahren virtueller Maschinen. Ransomware kann diese herunterfahren, um mit dem Kopieren und der Verschlüsselung von Dateien zu beginnen.
- Achten Sie auf ungewöhnliche Dateiaktivitäten und Dateien, deren Namen mit . akira , . akiranew oder ähnlichen Endungen umbenannt wurden.
- Konfigurieren Sie Warnmeldungen zu Konten und Zugriffen. Markieren Sie neue oder wiederentdeckte „Geister“-Konten, die von Angreifern erstellt wurden, insbesondere wenn diese auf Anmeldebildschirmen verborgen sind.
- Erkennen Sie Anomalien beim VPN-/RDP-Zugriff, wie z. B. ungewöhnliche Anmeldungen, fehlgeschlagene Authentifizierungsversuche oder Zugriffe von ungewöhnlichen geografischen Standorten.
Zusammen mit den Erkennungsmaßnahmen sollten Sie Abwehrstrategien gegen die Ransomware „Akira“ implementieren.
- Konfigurieren Sie die Multi-Faktor-Authentifizierung für den Zugriff auf VPN, RDP, Web-Admin-Tools, E-Mails usw. Verwenden Sie sichere Passwörter und eine robuste Sicherheitsrichtlinie. Legen Sie die Anzahl der zulässigen Passwortversuche fest.
- Schränken Sie den externen VPN-/RDP-Zugriff ein; nutzen Sie Geofencing und löschen Sie regelmäßig inaktive Anmeldeinformationen/Konten. Konfigurieren Sie Firewalls und filtern Sie den Netzwerkverkehr. Deaktivieren Sie nicht genutzte Ports.
- Installieren Sie regelmäßig Patches für VPN-Appliances und -Systeme, insbesondere für solche, die als bekannte Ziele von Akira gelten.
- Implementieren Sie Netzwerksegmentierung und ziehen Sie Zero-Trust-Sicherheit in Betracht. Segmentieren Sie Netzwerke, um die laterale Ausbreitung von Ransomware einzuschränken und deren Verbreitung zu verhindern. Wenden Sie nach Möglichkeit das Prinzip der geringsten Berechtigungen an, um Zugriff nur für erforderliche Aufgaben zu gewähren.
- Installieren Sie ein Antivirenprogramm (AV) mit EDR/XDR-Software, um Computer im Netzwerk zu schützen. Anwenden Sie eine Treiber-Whitelist, um die Ausführung anfälliger, signierter Treiber zu verhindern. Fügen Sie Schutzmaßnahmen wie „Moving Target Defense“ hinzu, die durch ein sich ständig veränderndes Systemverhalten das Dumping von Anmeldeinformationen, laterale Zugriffstools und Ransomware blockieren.
Implementieren Sie eine zuverlässige Backup-Strategie , die für die gesamte Datensicherheitsstrategie unerlässlich ist.
- Konfigurieren Sie regelmäßige Backups . Stellen Sie sicher, dass die Backups verschlüsselt, unveränderlich sind und regelmäßig auf ihre Wiederherstellungsbereitschaft getestet werden.
- Befolgen Sie die 3-2-1-Regel für Backups . Halten Sie mindestens 3 Kopien der Daten bereit, davon 2 auf unterschiedlichen Medien und 1 außerhalb des Standorts. Sie sollten außerdem über ein air-gapped Backup verfügen, auf das Ransomware keinen Zugriff hat.
- Führen Sie regelmäßige Benutzerschulungen durch : Schulen Sie die Benutzer darin, verdächtige Aktivitäten zu erkennen und zu wissen, was zu tun ist, wenn ungewöhnliches Verhalten bemerkt wird. Benutzer müssen den Computer sofort vom Netzwerk trennen, wenn verdächtige Aktivitäten oder Anzeichen einer Ransomware-Infektion auftreten, und das Problem einem Systemadministrator melden.
- Konfigurieren Sie Infrastrukturüberwachung . Überwachen Sie Protokolle, ungewöhnliche Dateiübertragungen, die Erstellung von Administratorkonten und seltsames Netzwerkverhalten mithilfe von SIEM oder Überwachungstools von Drittanbietern.
- Erstellen Sie einen Ransomware-Reaktionsplan als Teil der umfassenderen Katastrophenwiederherstellung und Notfallplan . Entwickeln und testen Sie einen Ransomware-spezifischen Notfallplanmit klaren Rollen und Verfahren.
Zahlen Sie kein Lösegeld, wenn ein Ransomware-Angriff stattfindet. Behörden (FBI, CISA und andere) raten von der Zahlung von Lösegeld ab, da es keine Garantie dafür gibt, dass Sie Ihre Daten zurückerhalten. Die Wiederherstellung nach einem Akira-Ransomware-Angriff setzt voraus, dass die Ransomware von den infizierten Computern entfernt oder sogar die Software neu installiert wird, eine Infrastrukturprüfung durchgeführt wird, alle möglichen Schwachstellen behoben werden und die Daten aus einem Backup wiederhergestellt werden.
Verwenden Sie NAKIVO Backup & Replication für die Datensicherung und -wiederherstellung. Die NAKIVO-Lösung unterstützt die Sicherung von physischen Maschinen, virtuellen Maschinen, Amazon EC2-Instanzen, Microsoft 365 und Oracle-Datenbanken (über RMAN). Mit einer breiten Palette an Speicheroptionen für Backups können Sie eine zuverlässige Backup-Strategie umsetzen. Datenverschlüsselung und die Unveränderlichkeit der Backups schützen Daten vor unbefugtem Zugriff und Änderungen, sodass Sie Ihre Dateien im Falle einer Katastrophe oder eines Ransomware-Angriffs wiederherstellen können.
Fazit
Die Ransomware „Akira“ stellt nach wie vor eine große Bedrohung für die Cybersicherheit dar und nutzt ausgefeilte Taktiken, um in Netzwerke einzudringen, Daten zu verschlüsseln und Opfer zu erpressen. Das Verständnis ihres Lebenszyklus und der Erkennungsmethoden ist unerlässlich, um starke Abwehrmaßnahmen aufzubauen und potenzielle Schäden zu minimieren. Zuverlässige Backups, Tools wie NAKIVO Backup & Replication und eine proaktive Überwachung können die Auswirkungen eines Angriffs erheblich verringern. Indem sie sich auf dem Laufenden halten und gut vorbereitet sind, können Unternehmen ihre Resilienz gegenüber der Ransomware „Akira“ stärken.