IT-Sicherheit

Akira-Ransomware

Neue große Cybergefahr für Unternehmen

von 01.12.2023
Ein Mann sitzt verzweifelt am Computer; sein Unternehmen ist Opfer der Akira-Ransomware. Bild: Pexels/Thirdman
Die Daten sind verschlüsselt und plötzlich ploppt eine Lösegeldforderung auf – so ergeht es den Opfern der Akira-Ransomware. Bild: Pexels/Thirdman

Die Akira-Ransomware ist erst seit März 2023 aktiv, aber schon ein halbes Jahr später eine der am schnellsten wachsenden Ransomware-Familien. Ein Cyberangriff sorgt besonders für Schlagzeilen.

Wir erklären, was hinter Akira steckt und welche Zielgruppe besonders im Visier der Hackergruppe steht.

Inhaltsverzeichnisexpand_more
  1. Cybercrime: kein Tag ohne neue Schadsoftware
  2. Was ist die Akira-Ransomware?
  3. Akira für Angriff auf Südwestfalen IT verantwortlich
  4. Akira-Ransomware: So läuft der Angriff ab
  5. Forscher stellen Entschlüsselungstool bereit
  6. Opfer der Akira-Ransomware: was tun?
  7. So schützen sich Unternehmen vor Akira
  8. IT-Experten riegeln Unternehmen ab

Cybercrime: kein Tag ohne neue Schadsoftware

250.000 neue Schadprogramm-Varianten Tag für Tag – von dieser gewaltigen Zahl berichtet das Bundesamt für Sicherheit in der Informationstechnik im BSI-Lagebericht 2023. Die Zahl zeigt, dass die Gefahr groß ist, einer der unzähligen existierenden Varianten zum Opfer zu fallen. Und sie zeigt auch, dass auf der Bühne des Cybercrime ständig Bewegung herrscht: Die eine Ransomware taucht auf, eine andere verschwindet und die Hitlisten besonders berühmt berüchtigter Malware zeigen ein stetes Auf und Ab.

Eine besondere Gefährdung geht dabei von Ransomware aus – auch das ist eine Erkenntnis, die das BSI in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland“ für das Jahr 2023 wieder einmal festhält. Besonders die Wirtschaft ist hier im Visier der Angreifer, aber auch die öffentliche Verwaltung kann in Mitleidenschaft gezogen werden.

Ein sehr gutes Beispiel für die Gefährdung durch Schadsoftware ist die neuartige Ransomware Akira. Die dahinterstehende Hackergruppe hat jüngst für jede Menge Schlagzeilen gesorgt. Wir haben die wichtigsten Informationen zu Akira zusammengefasst.

Ein Mann sitzt geschockt am Laptop; sein Unternehmen ist Opfer der Akira-Ransomware. Bild: Pexels/Thirdman

Die erste Reaktion auf einen Ransomware-Angriff wie bei der Akira-Ransomware ist erst einmal: Schock. Bild: Pexels/Thirdman

Was ist die Akira-Ransomware?

Die Akira-Ransomware ist eine noch recht neue Schadsoftware. Sie ist erst seit März 2023 aktiv, gilt aber bereits nach wenigen Monaten als eine der am schnellsten wachsenden Ransomware-Familien. Zur Erklärung: Häufig gibt es eine Ramsomware in verschiedenen Varianten beziehungsweise Abwandlungen des ursprünglichen Schadcodes; das Ziel dessen ist, mit einer noch unbekannten Variante durch das Raster von Sicherheitslösungen zu fallen und sich Zugang in fremde Systeme zu verschaffen.

Der Name Akira steht aber nicht nur für die Ransomware selbst, sondern auch für die dahinterstehende Hackergruppe. Laut einer Studie des Sicherheitsunternehmens Logpoint ist diese Hackergruppe derzeit eine der aktivsten kriminellen Vereinigungen im Bereich der Internet-Erpressung. Sie nutzt die Taktik der zweifachen Erpressung (Double Extortion): Die Angreifer stehlen dabei die Daten ihrer Opfer, bevor sie sie verschlüsseln. Dadurch erhält die Lösegeldforderung zusätzlichen Nachdruck, da (personenbezogene) Daten nicht nur verloren gehen, sondern zudem im Darknet veröffentlicht werden könnten.

Die Lösegeldforderungen von Akira haben es oftmals in sich, denn nach Angaben der IT-Sicherheitsfirma Malwarebytes fordert Akira oft Lösegelder zwischen 200.000 und mehreren Millionen US-Dollar. In erster Linie greift die Hackergruppe Unternehmen mit bis zu 200 Mitarbeitern an. Anfangs hatte sie es vorwiegend auf Unternehmen in den USA und Kanada abgesehen, inzwischen rücken aber auch Unternehmen in Europa zunehmend in den Fokus.

Akira für Angriff auf Südwestfalen IT verantwortlich

Im vierten Quartal 2023 hat die Akira-Hackergruppe in Deutschland für zahlreiche Schlagzeilen gesorgt. In der Nacht vom 29. auf den 30. Oktober 2023 wurde ein Cyberangriff auf die Südwestfalen IT (SIT) entdeckt. Bei der SIT handelt es sich um einen kommunalen Zweckverband, der als Dienstleister die IT für 72 Kommunen betreibt. Als Reaktion darauf hatte die SIT alle Systeme abgeschaltet.

Inzwischen ist bekannt, dass die Akira-Hackergruppe für diesen Angriff verantwortlich ist. Nach dpa-Informationen geht aus einem vertraulichen Bericht des Innenministeriums an den Landtag hervor, dass die Hacker die Server von Südwestfalen IT verschlüsselt und eine Nachricht hinterlassen hatten: Über das Darknet könne man mit ihnen in Kontakt treten – wohl um über die Höhe des Lösegeldes zu verhandeln.

Eine forensische Analyse zeigt, dass die Notabschaltung der Systeme Schlimmeres verhindern und den Angriff stoppen konnte: Zwar sei das Kernsystem des Dienstleisters betroffen, eine Ausbreitung auf die Systeme der Kommunen und Kreise sei durch die drastische Maßnahme aber verhindert worden.

Zu sehen sind Kollegen, die nicht arbeiten können, weil die Systeme lahmgelegt sind; wegen der Akira-Ransomware? Bild: Pexels/RDNE Stock project

Alle Systeme lahmgelegt, keine Chance zu arbeiten – so ist es Kommunen in Südwestfalen nach einem Angriff mit der Akira-Ransomware ergangen. Bild: Pexels/RDNE Stock project

Ransomware-Angriff mit weitreichenden Folgen

Nichtsdestotrotz wurden mehrere dutzende Kommunen urplötzlich ihrer IT-Infrastruktur beraubt – und das zog sich über Wochen. Die Konsequenzen dessen waren enorm: Die Bürgerservices der Kommunen mit insgesamt etwa 1,7 Millionen Einwohnern waren lahmgelegt; Pässe und Führerscheine konnten nicht ausgestellt, Sozialhilfe und Wohngeld nicht ausgezahlt werden; manche Städte mussten sogar um ihre Liquidität bangen.

Erst Ende November konnte die Südwestfalen IT damit beginnen, die nicht betroffenen Systeme wieder hochzufahren, wodurch erste Services wieder verfügbar wurden. Der betroffene Teil des Rechenzentrums allerdings musste komplett neu aufgebaut werden, sodass viele Services weiterhin nicht verfügbar waren – man rechnete damit, dass es noch bis Mitte Dezember dauern werde, bis bestimmte Services wieder verfügbar seien.

Das liegt auch daran, dass die Südwestfalen IT und die betroffenen Kommunen eine Lösegeldzahlung ablehnen. Damit folgen sie der offiziellen Empfehlung des BSI: Einerseits würde die Zahlung des Lösegelds nicht garantieren, dass die Systeme mit dem Entschlüsselungstool der Hacker tatsächlich wiederhergestellt werden könnten, andererseits würde sie die Hacker nur zu weiteren Angriffen ermutigen.

Südwestfalen IT gesteht Sicherheitslücken ein

Inzwischen hat die Südwestfalen IT gravierende Sicherheitslücken eingestanden und den ausführlichen Bericht eines IT-Forensik-Unternehmens veröffentlicht. Der Bericht, veröffentlicht knapp drei Monate nach dem Angriff, offenbart, wie die Akira-Gruppe durch Ausnutzung grundlegender Sicherheitsmängel erfolgreich eindringen konnte: Ursache waren schwache Passwörter, eine fehlende Mehr-Faktor-Authentifizierung (MFA) und eine schlecht gepflegte VPL-Appliance.

Die Sicherheitsforscher gehen davon aus, dass die Angreifer am 18. Oktober 2023 damit begonnen haben, beliebige Zugangsdaten auszuprobieren und auf diese Weise das VPN-Passwort eines SIT-Mitarbeiters erraten konnten, der nicht durch eine MFA abgesichert war. Diesen Zugang nutzten die Angreifer von niederländischen und US-amerikanischen IP-Adressen aus, um das Netz der SIT auszukundschaften und ab dem 29. Oktober 2023 die Systeme zu verschlüsseln.

Es gibt im Zusammenhang mit diesem Vorfall aber auch gute Nachrichten. Trotz der enormen Auswirkungen des Angriffs, die im März 2024 teilweise noch immer bemerkbar sind, scheint es zu keinem Datendiebstahl gekommen zu sein. Und: Mehr als die Hälfte der NRW-Kommunen hat den Vorfall zum Anlass genommen, ihre Systeme auf Schwachstellen zu untersuchen. Unterstützt werden die Kommunen dabei finanziell durch die Landesregierung. Sie will zukünftig besonders kleine, ländlichere Gemeinden dabei unterstützen, sich besser gegen Cyberbedrohungen abzusichern.

Akira-Ransomware: So läuft der Angriff ab

Hackergruppen folgen bei ihren Angriffen häufig einem festen Muster. Das ist bei den Akira-Hackern nicht anders. Sicherheitsexperten haben bei Angriffen mit der Akira-Ransomware die folgende Vorgehensweise beobachtet:

  1. Infektion: Die Forscher gehen davon aus, dass die Cyberangriffe meist mit einer Phishing-E-Mail oder bösartigen Webseiten beginnt. Sobald ein Opfer auf einen maliziösen Link oder Anhang klickt, startet der Download der Akira-Ransomware. Ohne geeignete Sicherheitsmaßnahmen breitet sich Akira im Netzwerk aus.
  2. Datendiebstahl: Ist die Ransomware im System, bereiten die Angreifer die doppelte Erpressung vor, indem sie die Unternehmensdaten auf die eigenen Server kopieren.
  3. Datenverschlüsselung: Sobald der Datendiebstahl vollzogen ist, verschlüsselt Akira die Unternehmensdaten mithilfe starker Verschlüsselungsalgorithmen. Die Daten werden dadurch unlesbar und unbrauchbar.
  4. Löschung von Schattenkopien: Sicherheitskopien der Unternehmensdaten, die in irgendeiner Weise mit dem Netzwerk verbunden sind, löschen die Akira-Hacker. Dadurch verhindern sie, dass Opfer die verschlüsselten Daten einfach wiederherstellen können. Der Druck der Lösegeldforderung wird dadurch verstärkt.
  5. Lösegeldforderung: Sind die Dateien kopiert und verschlüsselt, hinterlässt die Hackergruppe Akira eine Nachricht. Teilweise enthält diese Nachricht direkt Anweisungen zur Zahlung eines Lösegeldes in Höhe X in Bitcoin sowie eine Frist für die Zahlung; teilweise wird lediglich zur Kontaktaufnahme im Darknet aufgerufen.
  6. Verhandlung: Es hat sich herausgestellt, dass die Akira-Hacker mit sich handeln lassen. Beispielsweise ist die Gruppe bereit, ihre Forderungen zu senken, wenn die Opfer lediglich für die Nicht-Veröffentlichung der von Akira gestohlenen Daten zahlen, aber keinen Decryptor, sprich den Schlüssel zum Dechiffrieren ihrer Daten, benötigen.
  7. Entschlüsselung: Gehen Opfer auf die Lösegeldforderung ein, stellt Akira das Entschlüsselungstool zur Verfügung und sieht von einer Veröffentlichung der gestohlenen Daten ab. Zumindest in der Theorie. Eine Garantie dafür haben die Opfer nicht.

Zur Kommunikation nutzt Akira übrigens ein sogenanntes TOR-basiertes Kommunikationssystem. Dadurch gestaltet es sich für Ermittler schwierig, die Angreifer aufzuspüren und ihnen das Handwerk zu legen.

Hände bedienen eine Laptop-Tastatur. Bild: Pexels/Cup of Couple

Opfer der Akira-Ransomware werden dazu aufgefordert, über das Darknet mit den Akira-Hackern in Kontakt zu treten. Bild: Pexels/Cup of Couple

Forscher stellen Entschlüsselungstool bereit

Sicherheitsforschern von Avast ist es bereits im Juli gelungen, selbst ein Entschlüsselungstool zu erstellen. Opfer des Erpressungstrojaners Akira haben dadurch die Möglichkeit, wieder auf ihre Daten zuzugreifen, ohne das Lösegeld zu zahlen. Allerdings müssen dafür bestimmte Voraussetzungen erfüllt sein: Die Opfer benötigen mindestens von einer Datei neben der verschlüsselten Variante – erkennbar durch die Datei-Endung „.akira“ – auch die unverschlüsselte Original-Version. Dadurch soll das Entschlüsselungstool dann in der Lage sein, auch alle anderen verschlüsselten Dateien wieder lesbar zu machen.

Opfer, die diesen Weg wählen (können), stehen aber dennoch vor der speziellen Problematik der Double Extortion: Die Hackergruppe Akira kann die erbeuteten Daten immer noch im Darknet veröffentlichen und/oder verkaufen. Je nachdem, welche Art von Daten gestohlen wurden, können die Auswirkungen für Unternehmen dramatisch sein. Sie reichen von Imageschäden über Datenschutzverstöße bis hin zur Verwendung der Daten für weitere Attacken. Nichtsdestotrotz sind sich die Sicherheitsforscher einig, dass Lösegelder keinenfalls gezahlt werden sollten.

Opfer der Akira-Ransomware: was tun?

Sollte Ihr Unternehmen einer Cyberattacke mit der Akira-Ransomware zum Opfer gefallen sein, sollten Sie nicht lange mit einer Reaktion warten. Wir empfehlen, die folgenden Schritte schnellstmöglich zu ergreifen:

  1. Leiten Sie unverzüglich Reaktionsmaßnahmen ein, um eine Ausbreitung im Unternehmensnetzwerk möglicherweise noch rechtzeitig zu verhindern Notabschaltung Ihrer Systeme ist durchaus zu erwägen. Versuchen Sie, dabei möglichst besonnen vorzugehen. Eventuell haben Sie so einen IT-Notfall schon einmal geprobt und wissen daher, was zu tun ist.
  2. Folgen Sie der offiziellen Empfehlung, indem Sie nicht auf die Lösegeldforderung eingehen. Im Idealfall haben Sie mit der 3-2-1-Backup-Regel für den Fall eines Cyberangriffs vorgesorgt und verfügen über eine externe Sicherheitskopie Ihrer Unternehmensdaten.
  3. Melden Sie den Angriff unverzüglich den Behörden. Dadurch besteht die Chance, die Angreifer aufzuspüren und im Fall eines Ermittlungserfolgs möglicherweise sogar vor Gericht zu bringen. Zudem sind Unternehmen zu einer Meldung verpflichtet, wenn ein Datenschutzverstoß vorliegt oder nicht ausgeschlossen werden kann.
  4. Kontaktieren Sie IT-Experten, die Ihnen dabei helfen können, die verschlüsselten Daten wiederherzustellen. Vielleicht kann Ihnen das erwähnte kostenlose Entschlüsselungstool von Avast dabei behilflich sein. Es ist in jedem Fall gut möglich, dass es einigen Aufwand bedeutet, die Systeme wieder vollkommen herzustellen. Fachleute unterstützen dabei, den Geschäftsbetrieb schnellstmöglich wieder aufnehmen zu können.
  5. Auch die Durchführung einer forensischen Analyse ist wichtig, um feststellen zu können, wie der Angriff gelungen ist. Gut zu wissen: Sollten Sie eine Cyberversicherung abgeschlossen haben, sind die Kosten für den Einsatz der IT-Forensik-Experten darin möglicherweise abgedeckt.
  6. Auf Grundlage der Ergebnisse aus der forensischen Analyse sollten potenzielle Schwachstellen im Nachgang ausgebessert werden. Prüfen Sie Ihre Sicherheitsmaßnahmen auf Herz und Nieren und optimieren Ihre Abwehr – damit ein solcher Cyberangriff nicht noch einmal gelingen kann.

Sollten Sie einen IT-Dienstleister benötigen, der Sie bei der Reaktion auf den Ransomware-Angriff unterstützt, zögern Sie nicht, einen IT-Dienstleister aus unserem Netzwerk zu kontaktieren. Unsere IT-Experten stehen Ihnen im Härtefall gern bei.

Zu sehen ist ein nachdenklicher Mann. Bild: Pexels/Andrea Piacquadio

Möglichst besonnen reagieren – das ist ein wichtiger Tipp für die Reaktion auf einen Ransomware-Angriff. Bild: Pexels/Andrea Piacquadio

So schützen sich Unternehmen vor Akira

Unternehmen, die sich glücklich darüber schätzen dürfen, noch nicht in das Visier der Akira-Hacker geraten zu sein, sollten die Gelegenheit nutzen, ihre Sicherheitsmaßnahmen noch rechtzeitig auf den Prüfstand zu stellen. Die folgenden Maßnahmen können maßgeblich zum Schutz vor Ransomware wie Akira beitragen:

  • Implementieren Sie eine umfassende Sicherheitsstrategie, die sowohl Prävention als auch Reaktion umfasst. Dazu gehört die Absicherung mit effizienten Sicherheitslösungen wie einem effizienten Antivirus- und Anti-Malware-Management; diese Programme können helfen, Ransomware-Angriffe zu erkennen und zu blockieren. Dazu zählt aber auch, für den Notfall gewappnet zu sein – und zwar durch die Erstellung eines IT-Notfallhandbuchs und regelmäßigen Notfall-Übungen.
  • Stellen Sie sicher, dass Ihre Systeme mit den neuesten Sicherheitsupdates ausgestattet sind. Immer häufiger kommt es vor, dass Software-Lösungen über Schwachstellen verfügen, die von Angreifern nur allzu gern ausgenutzt werden. Reguläre Software-Updates enthalten häufig auch Sicherheitsupdates, die Sie vor Ransomware schützen können. Ein effizientes Patch-Management ist hier der Schlüssel.
  • Erstellen Sie regelmäßig Sicherheitskopien Ihrer Unternehmensdaten. Am besten gehen Sie dabei nach der 3-2-1-Regel vor, die unter anderem eine Kopie fernab des Firmennetzwerks vorsieht. Dadurch haben Sie dann immer eine aktuelle Kopie Ihrer Dateien in der Hinterhand, falls Ihr Netzwerk mit Ransomware infiziert wird. IT-Experten unterstützen hier mit dem Backup-Management.
  • Verwenden Sie die Multi-Faktor-Authentifizierung (MFA) für alle sensiblen Konten. Auch die Hackergruppe Akira scheint gern auf Konten abzuzielen, die nicht mit einer MFA abgesichert sind. Hier sollten Sie mit einem sicheren Zugangsmanagement unbedingt vorsorgen.
  • Seien Sie vorsichtig mit Links und Anhängen, auf die Sie in E-Mails oder auf Webseiten klicken. Auch die Akira-Gruppe scheint über Phishing-E-Mails und maliziöse Webseiten potenzielle Opfer anzugreifen. Damit Ihre Mitarbeiter entsprechend sensibilisiert sind, helfen Security-Awareness-Trainings.

Die wichtigsten Maßnahmen sind hiermit genannt, es macht aber in jedem Fall Sinn, die bereits durchgeführten Sicherheitsmaßnahmen individuell prüfen lassen. IT-Experten führen gern eine entsprechende Analyse durch und decken Optimierungspotenzial individuell auf.

IT-Experten riegeln Unternehmen ab

Fakt ist: Die Akira-Ransomware ist eine ernsthafte Bedrohung, die Unternehmen und Einzelpersonen erheblichen Schaden zufügen kann. Sie sollten diese Bedrohung keinesfalls auf die leichte Schulter nehmen: Stellen Sie sich einmal vor, Sie könnten wie die Kommunen in Südwestfalen über Wochen nicht auf eine funktionierende IT-Infrastruktur zurückgreifen – was würde das mit Ihrem Unternehmen machen? Wir gehen davon aus, dass Sie dieser hypothetischen Frage nicht näher auf den Grund gehen möchten…

Daher heißt es wie so oft: Vorsorge ist besser als Nachsorge. Eine 100-prozentige Absicherung gegen Cyberattacken gibt es zwar nie, da sich die Angriffe ständig weiterentwickeln und, wie eingangs erwähnt, Tag für Tag neue Schadsoftware entwickelt wird, die den Sicherheitslösungen dadurch noch unbekannt ist; nichtsdestotrotz gibt es zahlreiche Möglichkeiten, Cyberattacken gänzlich abzuwehren oder zumindest schnellstmöglich darauf zu reagieren. Sie möchten Genaueres dazu wissen? Dann wenden Sie sich an einen Experten aus dem IT-SERVICE.NETWORK!

Weiterführende Informationen:
it-daily, it-daily, heise, tagesschau, SPIEGEL, heise, heise, WDR, CSO, SECURITY INSIDER
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Pikabot-Malware

Aktuelle Angriffskampagne nutzt Social-Engineering-Taktiken

von • 15.04.2024

Anfang 2023 ist sie erstmals entdeckt worden, seit Anfang 2024 sorgt sie vermehrt für Schlagzeilen: Die Pikabot-Malware ist eine raffinierte Bedrohung und wird durch Social Engineering verbreitet. ...

Weiterlesen
IT-Sicherheit

TeamViewer-Sicherheitslücke

Schwachstelle verhilft Nutzern zu Admin-Rechten

von • 10.04.2024

Die Entwickler der beliebten Remote-Support-Software TeamViewer warnen vor einer Schwachstelle, über die sich Nutzer Admin-Rechte verschaffen können. Ein Update für die TeamViewer-Sicherheitslücke...

Weiterlesen
IT-Sicherheit

Exchange Server verwundbar

BSI warnt vor kritischer Schwachstelle

von • 03.04.2024

Das BSI warnt: In Deutschland sind mindestens 17.000 Microsoft Exchange Server verwundbar. Unternehmen sind zu schnellem Handeln aufgerufen, denn Cyberkriminelle greifen bereits an! Wir berichten, ...

Weiterlesen