Sie sind hier: Startseite » IT Security » Cyber-Angriffe

Zunahme von Fog- und Akira-Ransomware-Fällen


SSL-VPN-Konto und der Verschlüsselung durch die Ransomware
Arctic Wolf veröffentlicht neue Erkenntnisse über zunehmende Fog und Akira Ransomware-Aktivitäten über SonicWall SSL VPN


Arctic Wolf Labs verfolgt seit Anfang August 2024 eine deutliche Zunahme von Fog- und Akira-Ransomware-Fällen, bei denen der erste Zugang zu den Umgebungen der Opferunternehmen über SonicWall SSL VPN-Konten erfolgt. Die Datenauswertung zeigt, dass Unternehmen unterschiedlicher Zielbranchen und Größenordnungen betroffen sind, so dass die Arctic Wolf-Experten von einem opportunistischen, branchenunabhängigen Vorgehen der Bedrohungsakteure ausgehen.

Am 6. September 2024 gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese Schwachstelle in den von Arctic Wolf untersuchten Fällen ausgenutzt wurde, jedoch verfügten alle SonicWall-Geräte, die in diese Fälle verwickelt waren, über Firmware-Versionen, die von dieser Schwachstelle betroffen sind. Obwohl in einigen Angriffsfällen der Missbrauch von Anmeldeinformationen nicht ausgeschlossen werden kann, unterstreicht der Trend der zunehmenden Bedrohungsaktivitäten bei SonicWall-Geräten die Notwendigkeit, Firmware-Updates durchzuführen und eine externe Protokollüberwachung zu implementieren.

Die wichtigsten Erkenntnisse:

>> Arctic Wolf hat seit Anfang August
eine Zunahme von mindestens 30 Akira- und Fog-Fällen in einer Vielzahl von Branchen beobachtet, die alle SonicWall SSL VPN in einem frühen Stadium der Angriffskette betreffen. Daraus kann geschlossen werden, dass Mitglieder dieser Gruppen die Ransomware-Varianten Fog und Akira aktiver verbreiten.

>> Keines der betroffenen SonicWall-Geräte wurde gegen die Sicherheitslücke CVE-2024-40766 gepatcht, die nach Angaben von SonicWall potenziell aktiv ausgenutzt wird. Die Schwachstelle wurde von SonicWall am 22. August 2024 öffentlich bekannt gegeben (https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015), seitdem haben sich jedoch mehrere wichtige Änderungen ergeben:
o 28.8.2024: SonicWall aktualisiert den Hinweis, um das Zurücksetzen von SSL-VPN-Kennwörtern einzuschließen, wobei zuvor nur das Verwaltungsnetzwerk betroffen war.
o 06.09.2024: SonicWall aktualisiert den Hinweis, dass die Schwachstelle "potenziell" aktiv ausgenutzt wird und nennt SSL VPN ausdrücklich als potenziell anfällig. Arctic Wolf verschickt am selben Tag ein eigenes Bulletin und ergänzt, dass Akira-Mitglieder die Schwachstelle möglicherweise ausnutzen.
o Es wurde ein kurzes Intervall zwischen dem ersten Zugriff auf das SSL-VPN-Konto und der Verschlüsselung durch die Ransomware beobachtet. Diese geschieht oftmals innerhalb desselben Tages.

>> Bislang wurde noch nicht erwähnt, dass eine Reihe von Fällen nach Geschäftsschluss oder am Wochenende auftraten, was das Arctic Wolf-Team beobachtete. Diese Variante wird häufig in kleinen und mittelständischen Unternehmen eingesetzt. Auch die Ergebnisse des Arctic Wolf Security Operations Report deuten auf vermehrte Cyberangriffe nach Feierabend.
o Im Gegensatz zu den großen Ransomware-Angriffen, die wir in den vergangenen Jahren gesehen haben, sind diese Attacken weniger zielgerichtet, da die Ransomware-Anbieter herausgefunden haben, wie sie ihren Gesamtaufwand und die Durchlaufzeit reduzieren können.
o Vor allem für KMU, von denen einige nicht über ein dediziertes IT-Team verfügen, ist dieses Angriffsmuster besonders perfide: Die Angreifer haben es auf Schwachstellen abgesehen, die in der Patch-Priorisierung weiter unten stehen und verschlüsseln sensible Daten meist noch am selben Tag. Für die Unternehmen kommt dies einer Katastrophe gleich.

Fazit: Kommerzialisierung des Angriffsprozesses als Grundlage für opportunistische Cyberangriffe
Immer häufiger werden Schwachstellen auf opportunistische Weise ausgenutzt. Ransomware-Ableger haben es geschafft, die Bereitstellungszeiten drastisch zu verkürzen, was jedes Unternehmen für Angriffe öffnet und den Spielraum für Fehler bei Eindämmung und Erkennung zunehmend verkleinert. Besonders seit Aufkommen des Ransomware-as-a-Service-Modells ist eine fortschreitende Kommerzialisierung des Angriffsprozesses zu beobachten: Initial Access Broker verkaufen Zugang zu den Opferorganisationen, Ransomware-Partner setzen Verschlüsselungssoftware ein und führen praktische Keyboard-Aktivitäten durch und Ransomware-Betreiber stellen diesen Partnern die Leak-Site-Infrastruktur und technische Unterstützung für Verschlüsselungstools bereit. Die Folge davon ist, dass auch weniger erfahrene Bedrohungsakteure Bekanntheit erlangen und Profit machen können.

Im Zuge der Verlagerung auf Ransomware-as-a-Service haben sich größere Konglomerate in kleinere Einheiten aufgeteilt, die auf unterschiedliche Weise zusammenarbeiten und miteinander konkurrieren. Diese Zersplitterung wird von den kriminellen Gruppen als Risikostreuung wahrgenommen und ermöglicht ihnen einen fließenden Wechsel zwischen den Anbietern, wenn die Strafverfolgungsbehörden einen Teil ihrer Lieferkette ausschalten konnten. (Arctic Wolf Labs: ra)

eingetragen: 10.12.24
Newsletterlauf: 14.02.25

Arctic Wolf: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Cyber-Angriffe

  • Die Bedeutung der CBOM

    Ein zentrales Element der digitalen Sicherheit dabei sind kryptografische Systeme und ihre Algorithmen. Doch Kryptografie ist oft noch eine Black Box und nicht selten fehlt das Wissen, welche Algorithmen im Unternehmen zum Einsatz kommen.

  • Trends & Perspektiven der OT-ICS-Sicherheit

    Die Herausforderungen in den Bereichen Operational Technology (OT) und Industrial Control Systems (ICS) hatten 2023 ein noch nie dagewesenes Niveau erreicht. Ransomware - manchmal über neue Ransomware-as-a-Service (RaaS)-Modelle - war zu einem oft kostspieligen Problem geworden. Diese haben sich im Laufe des Jahres 2024 verstärkt.

  • Bedrohungen für Cybersicherheit in Smart Cities

    Da sich Städte weltweit zu Smart Cities entwickeln und fortschrittliche Technologien wie IoT, KI und 5G integrieren, um das städtische Leben zu verbessern, entstehen neue Cybersicherheitsrisiken. Diese Technologien bieten verbesserte Dienstleistungen wie effizientes Verkehrsmanagement und Wasserversorgung, setzen kritische Infrastrukturen aber auch Cyberbedrohungen aus.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen