Barracuda full logo

Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst

Themen:
25. Sept.. 2025
|
Yuvashree Murugan

Das Managed XDR-Team von Barracuda entschärfte kürzlich einen Akira- Ransomware-Angriff, der versuchte, der Entdeckung zu entgehen, indem er Tools in der Infrastruktur des Ziels ausnutzte, anstatt sein eigenes bekanntes Arsenal einzusetzen, und seine bösartigen Aktivitäten als alltägliche IT tarnte.

Wie der Angriff ablief

Cyberkriminelle nutzten einen nationalen Feiertag aus und griffen mit Akira-Ransomware, einem vielseitigen und opportunistischen Ransomware-as-a-Service-(RaaS-)Kit, das Netzwerk einer Organisation kurz vor 4:00 Uhr morgens an.

Die Angreifer verschafften sich Zugriff auf einen Domänencontroller (DC) – einen kritischen Server, der für die Authentifizierung und Validierung des Nutzerzugriffs auf Netzwerkressourcen wie Dateien und Anwendungen verantwortlich ist. Das Datto Remote Monitoring and Management-(RMM-)Tool wurde auf dem DC-Server installiert.

Die Angreifer setzten einen als Living Off The Land (LOTL) bekannten Ansatz ein, bei dem vorinstallierte und legitime Toolsets genutzt werden, um einen Angriff durchzuführen.

Sie konzentrierten sich auf die Managementkonsole des RMM-Tools und nutzten diese zusammen mit mehreren zuvor installierten Backup-Agenten, um den Angriff durchzuführen, ohne eine Security-Warnung für eine neue Softwareinstallation oder verdächtige Aktivitäten auszulösen.

Die Akira RMM-Angriffskette

  • Die Angreifer nutzten Datto RMM, um ein PowerShell-Skript aus dem Temp-Ordner per Fernzugriff zu pushen und auszuführen. Dabei wurde eine „Umgehung der Ausführungsrichtlinie“ verwendet, die es ermöglichte, die integrierten Sicherheitsprüfungen von PowerShell zu umgehen.
  • Das Skript wurde mit Systemebenen-Privilegien ausgeführt, was ihm die volle Kontrolle über den infizierten Server gab.
  • Kurz darauf wurden verschlüsselte PowerShell-Befehle verwendet, um weitere Tools auszuführen, und mehrere unbekannte ausführbare Dateien (Binärdateien) wurden in vertrauenswürdigen Windows-Verzeichnissen abgelegt, um keinen Verdacht zu erregen.
  • Diese Dateien umfassten einige getarnte Skripte, ein Skript zur Manipulation von Firewall-Regeln und eines, das in einem nicht standardmäßigen Verzeichnis versteckt war, wahrscheinlich einem vom Angreifer erstellten Staging-Bereich.
  • Es wurden Änderungen an der Registrierung vorgenommen, um dem Angreifer zu helfen, unentdeckt zu bleiben oder Security-Funktionen zu deaktivieren.
  • Der Volume Shadow Copy Service (VSSVC.exe) wurde auf dem Domänencontroller einige Minuten vor Beginn der Verschlüsselung beendet. Dies geschieht häufig im Rahmen routinemäßiger IT-Wartungsarbeiten, wird aber auch bei Ransomware-Angriffen als Vorstufe zur Verschlüsselung eingesetzt, da dadurch Kopien eliminiert werden, die andernfalls zur Wiederherstellung von Dateien verwendet werden könnten.
  • Um 4:54 Uhr begann die Ransomware-Nutzlast, Dateien zu verschlüsseln und sie mit der Erweiterung .akira zu modifizieren Verlängerung.

Glücklicherweise war der Domänencontroller mit Barracuda Managed XDR Endpoint Security geschützt.

Die allererste Dateiverschlüsselung wurde sofort durch die benutzerdefinierte Verschlüsselungsregel von XDR erkannt, was zur sofortigen Isolierung des betroffenen Geräts und zum Ende des Angriffs führte.

Wichtige Erkenntnisse

  • Die Angreifer haben keine ausgeklügelte neue Malware oder Tools eingesetzt, die sofort Alarmglocken auslösen würden. Stattdessen nutzten sie das, was bereits vorhanden war – Datto RMM und die Backup-Agenten – vertrauenswürdige Tools, die auf den Endpunkten installiert waren.
  • Ebenso spiegelte die Aktivität des Angreifers genau wider, was ein Backup-Agent während geplanter Jobs legitimerweise tun könnte. Dies ließ alles wie eine reguläre IT-Aktivität aussehen.
  • Akira ist ein cleveres und innovatives RaaS – die Entwickler hinter der Malware folgen keinem festen Drehbuch. Ihre Taktiken ändern sich regelmäßig, was es schwieriger macht, sie in der Frühphase eines Angriffs zu erwischen, da sie nicht mit bekannten Angriffssignaturen übereinstimmen.
  • Um IT-Umgebungen wirksam vor vielfältigen und vielseitigen Angriffen zu schützen, bietet eine vollständige XDR-Abdeckung, die sich über Endpunkte, Netzwerke, Server, Cloud und mehr erstreckt, SOC-Teams vollständige Transparenz und die Möglichkeit, Bedrohungen so früh wie möglich im Angriffslebenszyklus zu erkennen und zu neutralisieren.

Wiederherstellen

Nachdem die Bedrohung neutralisiert war, arbeitete das Barracuda Managed XDR-Team mit dem Kunden zusammen, um Folgendes umzusetzen:

  • Isolieren Sie alle betroffenen Geräte auf Organisationsebene
  • Lösen Sie Rücksetzungen für alle erkannten Bedrohungen im gesamten Unternehmen aus
  • Eine umfassende Suche nach Indikatoren für Kompromittierung (IOC), um verbleibende Akira-bezogene Artefakte zu erkennen
  • Bestätigung des Erfolgs des Rollbacks und der Stabilität der Endpunkte, Neustarten der Geräte bei Bedarf, um das Rollback abzuschließen
  • Überprüfung und Zusammenarbeit mit dem Kunden, um die Endpunkt-Richtlinien nach dem Vorfall zu verstärken
  • Validieren aller Aktionen mithilfe von SOAR-Playbooks

Barracuda Managed XDR hilft dabei, solche Vorfälle zu erkennen und zu entschärfen. Es überwacht kontinuierlich Endpunkte und Netzwerkaktivitäten, um anomale Verhaltensweisen wie unerwartetes Löschen von Dateien und Änderungen in der Registrierung zu erkennen. Managed XDR bietet darüber hinaus schnelle Incident-Response-Fähigkeiten und gewährleistet eine rasche Eindämmung und Behebung identifizierter Bedrohungen. Detaillierte Protokolle und forensische Analysen helfen dabei, den Ursprung und das Ausmaß des Angriffs nachzuvollziehen, was strategische Maßnahmen zur zukünftigen Prävention ermöglicht.

Durch die Integration mit Endpoint Detection and Response (EDR) verbessert Managed XDR die Sichtbarkeit in isolierte Systeme und bietet umsetzbare Erkenntnisse zur Schadensbegrenzung. Die proaktive Bedrohungssuche, unterstützt durch Managed XDR, hilft dabei, Persistenzmechanismen zu identifizieren und zu beseitigen, bevor Angreifer dauerhaften Zugriff erlangen.

Weitere Informationen zu Barracuda Managed XDR und SOC finden Sie auf der Website. Aktuelle Informationen zu neuen Funktionen und Upgrades sowie neuen Erkennungen für Barracuda Managed XDR finden Sie in den neuesten Versionshinweisen.

Die wichtigsten Werkzeuge und Techniken, die bei diesem Angriff verwendet wurden

Indikatoren für eine Kompromittierung

Bleiben Sie Angreifern mit rund um die Uhr verwalteter Cybersecurity immer einen Schritt voraus.
Yuvashree Murugan

Yuvashree Murugan ist Endpoint Security Engineer bei Barracuda und engagiert sich leidenschaftlich für die Erkennung von Bedrohungen und die Reaktion auf Vorfälle sowie die Umwandlung komplexer Angriffsketten in klare, umsetzbare Abwehrmaßnahmen.

Verwandte Beiträge:
Barracuda Assistant arrives in Barracuda Managed XDR dashboard
Barracuda Assistant arrives in Barracuda Managed XDR dashboard
Threat Spotlight: Wir stellen GhostFrame vor, ein neues, extrem unauffälliges Phishing-Kit
Threat Spotlight: Wir stellen GhostFrame vor, ein neues, extrem unauffälliges Phishing-Kit
SOC Bedrohungsradar – Dezember 2025
SOC Bedrohungsradar – Dezember 2025
 Dezember-Webinare: Bekämpfung von Identitätskompromittierung und Account Takeover
Dezember-Webinare: Bekämpfung von Identitätskompromittierung und Account Takeover
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.