{"id":52761,"date":"2025-03-11T21:10:25","date_gmt":"2025-03-12T05:10:25","guid":{"rendered":"https:\/\/www.sumologic.com\/blog\/der-akira-ransomware-angriff-erkennen-von-iot-basierten-bedrohungen-mit-sumo-logic"},"modified":"2025-09-24T05:42:37","modified_gmt":"2025-09-24T13:42:37","slug":"akira-ransomeware-detecting-iot-threats","status":"publish","type":"blog","link":"https:\/\/www.sumologic.com\/de\/blog\/akira-ransomeware-detecting-iot-threats","title":{"rendered":"Der Akira Ransomware-Angriff: Erkennen von IoT-basierten Bedrohungen mit Sumo Logic"},"content":{"rendered":"\n<section class=\"e-stn e-stn-0d652506f82b000a392973813b918ee25d5b4211 e-stn--glossary-inner-content e-stn--table-of-content\"><div class=\"container\">\n<div class=\"wp-block-b3rg-row e-row row\">\n<div class=\"wp-block-b3rg-column e-col e-col-1f7b3997080fc292474d26ff00c905d99d3520fa e-col--content-wrapper  col-sm-12 col-lg-12 col-xl-12\">\n<div class=\"e-div e-div-a1b32f66e1749758df41d5aea14f647cd10e362c e-div--card-btn-link\"><div class=\"e-img \">\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1400\" height=\"400\" src=\"https:\/\/www.sumologic.com\/wp-content\/uploads\/header-Akira_ATTACK_Blog_header_700x200.jpg\" alt=\"\" class=\"wp-image-13433\" title=\"\"><\/figure>\n<\/div>\n\n\n<p><\/p>\n\n\n\n<p>In einem k\u00fcrzlich durchgef\u00fchrten, ausgekl\u00fcgelten Cyberangriff nutzte die Ransomware-Gruppe Akira eine ungesicherte\u00a0<a href=\"https:\/\/www.s-rminform.com\/latest-thinking\/camera-off-akira-deploys-ransomware-via-webcam\" target=\"_blank\" rel=\"noreferrer noopener\">Linux-basierte Webcam<\/a>, um ein Unternehmensnetzwerk zu infiltrieren. Indem sie dieses \u00fcbersehene IoT-Ger\u00e4t ausnutzten, umgingen die Angreifer erfolgreich klassische\u00a0<a href=\"https:\/\/www.sumologic.com\/blog\/what-is-xdr-real-impact-vs-hype\">Endpoint Detection and Response (EDR)-L\u00f6sungen<\/a>, verschl\u00fcsselten schlie\u00dflich Netzwerkfreigaben und verursachten weitreichende Sch\u00e4den. Dieser Vorfall unterstreicht das wachsende Risiko von\u00a0<a href=\"https:\/\/www.sumologic.com\/de\/blog\/iot-security\">IoT-basierten Angriffsvektoren<\/a>\u00a0und die dringende Notwendigkeit f\u00fcr Unternehmen, robuste Sicherheitsma\u00dfnahmen f\u00fcr ihre verbundenen Ger\u00e4te zu implementieren.<\/p>\n\n\n\n<p>Da Unternehmen immer mehr IoT-Ger\u00e4te in ihre Infrastruktur integrieren, ist die Absicherung dieser Endpunkte von entscheidender Bedeutung, um Seitw\u00e4rtsbewegungen von Angreifern zu verhindern. Erfahren Sie, wie Angreifer ein IoT-Ger\u00e4t ausnutzen, welche Auswirkungen ein solcher Angriff hat und wie\u00a0<a href=\"https:\/\/help.sumologic.com\/docs\/cse\/rules\/write-first-seen-rule\/#:~:text=About%20first%20seen%20rules%E2%80%8B,a%20new%20geographic%20location%20(geolocation)\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>First Seen<\/strong><\/a>&#8211; und\u00a0<a href=\"https:\/\/help.sumologic.com\/docs\/cse\/rules\/write-outlier-rule\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Outlier<\/strong><\/a>-Regeln von Sumo Logic verwendet werden k\u00f6nnen, um diese Bedrohungen zu erkennen, bevor sie zu einem Ransomware-Vorfall eskalieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"understanding-the-threat\"><strong>Die Bedrohung verstehen<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"how-the-akira-group-compromised-the-webcam\"><strong>Wie die Akira-Gruppe die Webcam kompromittiert hat<\/strong><\/h3>\n\n\n\n<p>Der Angriff begann, als die Ransomware-Betreiber eine ungesicherte Linux-basierte Webcam innerhalb des Unternehmensnetzwerks identifizierten. Durch die Ausnutzung von Standard- oder schwachen Anmeldedaten verschafften sich die Angreifer einen ersten Zugang zum Ger\u00e4t. Sobald sie drin waren, nutzten sie die kompromittierte Webcam, um:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Windows Server Message Block (SMB)-Freigaben von anderen Ger\u00e4ten innerhalb des Netzwerks zu mounten.<\/li>\n\n\n\n<li>ihren Linux-basierten Ransomware-Verschl\u00fcsseler direkt auf dem IoT-Ger\u00e4t einzusetzen.<\/li>\n\n\n\n<li>auf Netzwerkfreigaben gespeicherte Daten zu verschl\u00fcsseln, ohne EDR-L\u00f6sungen auszul\u00f6sen, die f\u00fcr die \u00dcberwachung herk\u00f6mmlicher Endger\u00e4te konzipiert sind.<\/li>\n<\/ul>\n\n\n\n<p>Da IoT-Ger\u00e4te oft nicht \u00fcber robuste Protokollierungs- und \u00dcberwachungsfunktionen verf\u00fcgen, konnten die Angreifer unbemerkt operieren und die Sicherheitsma\u00dfnahmen f\u00fcr Endger\u00e4te umgehen, die die Ausf\u00fchrung von Ransomware erkennen und verhindern sollen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"implications-of-iot-based-attacks-on-organizational-security\"><strong>Auswirkungen von IoT-basierten Angriffen auf die Unternehmenssicherheit<\/strong><\/h3>\n\n\n\n<p>Dieser Vorfall wirft mehrere kritische Fragen f\u00fcr Unternehmen auf:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Un\u00fcberwachte Angriffsfl\u00e4chen:<\/strong>\u00a0Viele IoT-Ger\u00e4te werden ohne angemessene Sicherheitskontrollen eingesetzt, was sie zu idealen Einstiegspunkten f\u00fcr Angreifer macht.<\/li>\n\n\n\n<li><strong>Seitw\u00e4rtsbewegungen:<\/strong>\u00a0Sobald ein Angreifer ein IoT-Ger\u00e4t kompromittiert hat, kann er sich innerhalb des Netzwerks bewegen, um hochwertige Verm\u00f6genswerte ins Visier zu nehmen.<\/li>\n\n\n\n<li><strong>Tote Winkel des EDR:<\/strong>\u00a0Herk\u00f6mmliche L\u00f6sungen zum Schutz von Endger\u00e4ten sind nicht f\u00fcr die \u00dcberwachung von IoT-Ger\u00e4ten ausgelegt, was Angreifern die M\u00f6glichkeit bietet, die Erkennung zu umgehen.<\/li>\n\n\n\n<li><strong>Erh\u00f6htes Risiko durch Ransomware:<\/strong>\u00a0Da die Betreiber von Ransomware immer ausgefeiltere Techniken einsetzen, m\u00fcssen Unternehmen darauf vorbereitet sein, Anomalien im Netzwerkverhalten zu erkennen, anstatt sich ausschlie\u00dflich auf endpunktbasierte Abwehrma\u00dfnahmen zu verlassen. Dieser proaktive Ansatz erm\u00f6glicht die Korrelation unterschiedlicher Indikatoren und verbessert so die F\u00e4higkeit, komplexe Ransomware-Bedrohungen zu erkennen und effektiv darauf zu reagieren.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"leveraging-sumo-logic-for-detection\"><strong>Sumo Logic f\u00fcr die Erkennung nutzen<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"outlier-rule-monitoring-unusual-smb-traffic-from-iot-devices\"><strong>Ausrei\u00dfer-Regel: \u00dcberwachung von ungew\u00f6hnlichem SMB-Datenverkehr von IoT-Ger\u00e4ten<\/strong><\/h3>\n\n\n\n<p>Einer der Hauptvorteile der ausrei\u00dferbasierten Erkennungen in\u00a0<a href=\"https:\/\/www.sumologic.com\/de\/cloud-siem\">Sumo Logic Cloud-SIEM<\/a>\u00a0ist die Flexibilit\u00e4t bei der Erkennung von anomalem Verhalten \u00fcber verschiedene Entit\u00e4ten wie Benutzer, IP-Adressen oder Ger\u00e4te hinweg, ohne die klassische Komplexit\u00e4t bei diesen Arten von Anwendungsf\u00e4llen.<\/p>\n\n\n\n<p>Die Kenntnis Ihrer IoT-Ger\u00e4te ist der Schl\u00fcssel zur effektiven Erkennung verd\u00e4chtiger Aktivit\u00e4ten im Umfeld dieser Ger\u00e4te. Um das Rauschen zu reduzieren und die Erkennungsgenauigkeit zu erh\u00f6hen, k\u00f6nnen wir die\u00a0<a href=\"https:\/\/help.sumologic.com\/docs\/cse\/match-lists-suppressed-lists\/create-match-list\/\" target=\"_blank\" rel=\"noreferrer noopener\">Abgleichslisten von Sumo Logic<\/a>\u00a0nutzen, die entwickelt wurden, um bekannte IoT-Ger\u00e4te-IPs zu verfolgen. So kann Ihr Sicherheitsteam echte Anomalien priorisieren und gleichzeitig den gutartigen Datenverkehr von autorisierten Ger\u00e4ten herausfiltern.<\/p>\n\n\n\n<p>Die folgende Regel \u00fcberwacht den anomalen Server Message Block (SMB)-Verkehr, der von IoT-Ger\u00e4ten im Netzwerk ausgeht. IoT-Ger\u00e4te nehmen normalerweise nicht an der SMB-Kommunikation teil, da sie f\u00fcr bestimmte, eingeschr\u00e4nkte Funktionen wie Umgebungs\u00fcberwachung, Automatisierung oder vernetzte Ger\u00e4te konzipiert sind. Ungew\u00f6hnlicher SMB-Datenverkehr von diesen Ger\u00e4ten kann auf potenzielle Sicherheitsrisiken hinweisen, wie z. B. unbefugte Dateizugriffsversuche, Seitw\u00e4rtsbewegungen oder Kompromittierung durch Malware.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1079\" height=\"1236\" src=\"https:\/\/www.sumologic.com\/wp-content\/uploads\/blog-akira-img4.jpg\" alt=\"\" class=\"wp-image-13436\" title=\"\"><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"first-seen-rule-detecting-unauthorized-mounting-of-network-shares\"><strong>First-seen-Regel: Unerlaubtes Mounting von Netzwerkfreigaben erkennen<\/strong><\/h3>\n\n\n\n<p>Die nachstehende Regel \u00fcberwacht nicht autorisierte Netzwerkfreigaben, die ein Indikator f\u00fcr potenzielle Datenexfiltrationen, Seitw\u00e4rtsbewegungen oder unautorisierte Zugriffsversuche sein k\u00f6nnen. Netzwerkfreigaben (z. B. SMB- oder NFS-Verbindungen) werden h\u00e4ufig f\u00fcr die Speicherung von Dateien und die Zusammenarbeit verwendet. Ungew\u00f6hnliche Verbindungen \u2013 insbesondere von zuvor nicht sichtbaren Ger\u00e4ten, Dienstkonten oder externen Quellen \u2013 k\u00f6nnen jedoch auf eine Fehlkonfiguration, den Missbrauch von Logindaten oder einen aktiven Bedrohungsakteur hindeuten, der versucht, auf sensible Daten zuzugreifen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1108\" height=\"1231\" src=\"https:\/\/www.sumologic.com\/wp-content\/uploads\/blog-akira-img3.jpg\" alt=\"\" class=\"wp-image-13434\" title=\"\"><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"outlier-rule-identifying-abnormal-increases-in-network-traffic-from-iot-devices\"><strong>Ausrei\u00dfer-Regel: Erkennen von abnormalem Anstieg des Netzwerkverkehrs von IoT-Ger\u00e4ten<\/strong><\/h3>\n\n\n\n<p>Es wurde beobachtet, dass von einem IOT-Ger\u00e4t eine gr\u00f6\u00dfere Datenmenge als \u00fcblich nach au\u00dfen gesendet wurde. Es wird empfohlen, das mit dieser IP verbundene Ger\u00e4t, die Internet-Ziele und den mit diesem anomalen Verhalten verbundenen Datenverkehr zu untersuchen. Eine normalisierte Datensatzsuche nach der Quell-IP und dem externen Netzwerkverkehr innerhalb des Erkennungszeitraums hilft, verd\u00e4chtige Aktivit\u00e4ten zu identifizieren.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1079\" height=\"1186\" src=\"https:\/\/www.sumologic.com\/wp-content\/uploads\/blog-akira-img1.jpg\" alt=\"\" class=\"wp-image-13437\" title=\"\"><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"first-seen-rule-flagging-execution-of-unrecognized-processes-on-iot-devices\"><strong>First-seen-Regel: Markierung der Ausf\u00fchrung von nicht erkannten Prozessen auf IoT-Ger\u00e4ten<\/strong><\/h3>\n\n\n\n<p>Die nachstehende Regel \u00fcberwacht die Ausf\u00fchrung von bisher nicht gesehenen oder nicht autorisierten Prozessen auf IoT-Ger\u00e4ten. Dies kann ein starker Indikator f\u00fcr eine Kompromittierung, nicht autorisierte Software-Installationen oder Exploitversuche sein. Im Gegensatz zu herk\u00f6mmlichen Endger\u00e4ten f\u00fchren IoT-Ger\u00e4te in der Regel eine begrenzte und vorhersehbare Anzahl von Prozessen aus, die f\u00fcr ihre spezifischen Funktionen wie Automatisierung, \u00dcberwachung oder Kommunikation entwickelt wurden. Das Vorhandensein neuer oder unerkannter Bin\u00e4rdateien, die auf diesen Ger\u00e4ten ausgef\u00fchrt werden, kann auf eine Malware-Infektion, eine nicht autorisierte \u00c4nderung der Firmware oder auf einen Angreifer hindeuten, der versucht, Persistenz herzustellen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1053\" height=\"1251\" src=\"https:\/\/www.sumologic.com\/wp-content\/uploads\/blog-akira-img2.jpg\" alt=\"\" class=\"wp-image-13438\" title=\"\"><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"final-thoughts-and-next-steps\"><strong>Abschlie\u00dfende Gedanken und n\u00e4chste Schritte<\/strong><\/h2>\n\n\n\n<p>Das Ransomware-Exploit Akira zeigt das wachsende Risiko, das ungesicherte IoT-Ger\u00e4te f\u00fcr die Unternehmenssicherheit darstellen. Da Angreifer ihre Taktik weiterentwickeln und IoT-Endpunkte als heimliche Einstiegspunkte nutzen, um herk\u00f6mmliche Verteidigungsma\u00dfnahmen zu umgehen, ben\u00f6tigen Sie Erkennungsstrategien, die \u00fcber das Vertrauen in EDR-L\u00f6sungen hinausgehen. Anstatt sich mit der Komplexit\u00e4t herk\u00f6mmlicher Sicherheitsanalysen herumzuschlagen, ben\u00f6tigen Sicherheitsteams eine flexible Plattform, die diese Bedrohungen in Echtzeit identifizieren kann, ohne dass umfangreiche Regelanpassungen oder manuelle Korrelationen zwischen verschiedenen Datenquellen erforderlich sind.<\/p>\n\n\n\n<p>Die Sumo Logic-Grundregeln \u201eFirst Seen\u201c und \u201eAusrei\u00dfer\u201c bieten einen leistungsstarken, flexiblen Ansatz, um Fr\u00fchindikatoren f\u00fcr eine Kompromittierung zu identifizieren, anomales Verhalten zu erkennen und IoT-basierte Bedrohungen zu entsch\u00e4rfen, bevor sie eskalieren. Egal ob:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ausrei\u00dfer-Regeln, die ungew\u00f6hnlichen SMB-Datenverkehr oder anormale Netzwerkspitzen von IoT-Ger\u00e4ten identifizieren<\/li>\n\n\n\n<li>First-seen-Regeln zur Erkennung von nicht autorisierten Netzwerkfreigaben oder der Ausf\u00fchrung von zuvor nicht gesehenen Prozessen<\/li>\n<\/ul>\n\n\n\n<p>Diese Erkennungstechniken helfen Sicherheitsteams dabei, Einblick in nicht-klassische Angriffsfl\u00e4chen zu erhalten, Seitw\u00e4rtsbewegungen fr\u00fchzeitig zu erkennen und kritische Sicherheitsl\u00fccken zu schlie\u00dfen.<\/p>\n\n\n\n<p>Durch den Einsatz von Sumo Logic k\u00f6nnen Kunden schnell wirksame Erkennungsregeln einf\u00fchren, die sich an neu auftretende Bedrohungen anpassen, ohne die betriebliche Komplexit\u00e4t, die normalerweise mit traditionellen UEBA-L\u00f6sungen verbunden ist. Im Gegensatz zu \u00e4lteren <a href=\"https:\/\/www.sumologic.com\/guides\/siem\" data-type=\"resource\" data-id=\"3026\">SIEM<\/a>s, die auf manuellen, komplexen Prozessen (Lookups, mehrfache Abfragen und andere) beruhen und oft eine aufwendige Datenmodellierung und ein umfangreiches Tuning erfordern, bieten die Grundregeln \u201eFirst seen\u201c und \u201eAusrei\u00dfer\u201c von Sumo Logic eine leichtgewichtige, skalierbare Anomalieerkennung!<\/p>\n\n\n\n<p><a href=\"https:\/\/www.sumologic.com\/request-demo\">Kontaktieren Sie uns f\u00fcr eine Live-Demo von Cloud SIEM<\/a> oder\u00a0<a href=\"\/resources\/siem-evaluation\">beurteilen Sie, ob Ihre SIEM-L\u00f6sung Ihre Umgebung sch\u00fctzt<\/a>.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div><\/section>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":57,"featured_media":45479,"template":"","meta":{"_acf_changed":false,"show_custom_date":false,"custom_date":"","featured":false,"featured_image":0,"learn_more_label":"","image_alt_text":"","learn_more_type":"","show_popup":false,"learn_more_link_file":0,"event_date":false,"event_start_date":"","event_end_date":"","place_holder_image_url":"","post_reading_time":"4","notification_enabled":false,"notification_text":"","notification_logo":"","notification_expiration_time":0,"is_enable_transparent_header":false,"selected_taxonomy_terms":{"blog-category":[255,257],"blog-tag":[],"translation_priority":[]},"selected_primary_terms":[],"learn_more_link":[],"featured_page_list":[],"notification_enabled_post_list":[],"_gspb_post_css":"","_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"52702,62709,62726","_relevanssi_noindex_reason":"","inline_featured_image":false,"footnotes":""},"blog-category":[255,257],"blog-tag":[],"class_list":["post-52761","blog","type-blog","status-publish","has-post-thumbnail","hentry","blog-category-cloud-siem","blog-category-secops-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/52761","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/users\/57"}],"version-history":[{"count":1,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/52761\/revisions"}],"predecessor-version":[{"id":52767,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/52761\/revisions\/52767"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/media\/45479"}],"wp:attachment":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/media?parent=52761"}],"wp:term":[{"taxonomy":"blog-category","embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog-category?post=52761"},{"taxonomy":"blog-tag","embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog-tag?post=52761"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}