Akira-Ransomware – Moderne Erpressung mit Conti-Wurzeln

Seit ihrem ersten Auftreten im Frühjahr 2023 hat sich die Akira-Ransomware-Gruppe zu einem der bedrohlichsten Player im Bereich der Cybererpressung entwickelt. Der Name klingt harmlos – doch hinter “Akira” verbirgt sich eine hochprofessionelle und technisch versierte Organisation, die weltweit Unternehmen angreift und bereits Dutzende Millionen US-Dollar erpresst hat.

Akira wurde erstmals im März 2023 identifiziert. Die Gruppe agiert nach dem Modell des Ransomware-as-a-Service (RaaS), d. h. ein Kernteam entwickelt die Schadsoftware und stellt sie sogenannten Affiliates zur Verfügung, die damit eigenständig Angriffe durchführen.

Sicherheitsforscher vermuten Verbindungen zur ehemaligen Conti-Ransomware-Gruppierung – unter anderem wegen Code-Ähnlichkeiten und Überschneidungen in der Infrastruktur.

Die Angriffe erfolgen meist gezielt und strukturiert. Dabei setzt Akira auf folgende Techniken:

• Zugang über kompromittierte VPNs: Oft durch fehlende Multi-Faktor-Authentifizierung (MFA)
• Netzwerkerkundung: Mit Tools wie “Advanced IP Scanner” wird die Netzwerktopologie analysiert
• Privilegienausweitung: Durch Methoden wie “Pass-the-Hash” verschaffen sich Angreifer Administratorrechte
• Datenexfiltration: Vor der Verschlüsselung werden sensible Daten gestohlen
• Doppelte Erpressung: Neben der Sperrung von Systemen wird mit der Veröffentlichung gestohlener Daten gedroht

Die verschlüsselten Dateien erhalten in der Regel die Endung .akira

Bis Anfang 2024 hat Akira laut FBI über 250 Unternehmen weltweit angegriffen. Darunter befinden sich:

• Stanford University: Exfiltration sensibler Forschungs- und Personaldaten
• Nissan Australien: Produktion und Verwaltung zeitweise lahmgelegt
• KNP (Großbritannien): Ein Logistikunternehmen, das nach dem Angriff Insolvenz anmelden musste

Die Gesamtforderungen beliefen sich laut CISA auf rund 42 Millionen US-Dollar. In vielen Fällen wurden die Daten nicht nur verschlüsselt, sondern auch tatsächlich im Darknet veröffentlicht.

Akira vereint Merkmale moderner Ransomware-Akteure:

• Technisch raffinierte Methoden
• Zielgerichtete Angriffe auf KMUs & Großunternehmen
• Kombination aus Datenverschlüsselung & Erpressung durch Leaks
• Schnelle Anpassung an Sicherheitsupdates und neue Schutzmechanismen

Die folgenden Maßnahmen sind entscheidend, um Akira-Angriffe zu verhindern oder ihre Auswirkungen zu minimieren:

1. MFA aktivieren: Vor allem für VPNs, Mail-Zugänge und Admin-Konten
2. Regelmäßige Updates: Schließen Sie bekannte Sicherheitslücken konsequent
3. Netzwerksegmentierung: Verhindert die Ausbreitung innerhalb des Systems
4. Security-Awareness-Trainings: Sensibilisierung der Mitarbeitenden gegen Phishing
5. Offline-Backups: Nur getrennte Datensicherungen sind vor Verschlüsselung sicher
6. Notfallpläne & Incident-Response-Partner: Vorbereitung ist alles

Akira zeigt, dass sich die Cyberbedrohungslage weiter zuspitzt. Mit ihrer Mischung aus technischem Know-how, Strategie und skrupelloser Erpressung reiht sich die Gruppe nahtlos in die Liga von Royal, LockBit oder BlackCat ein.

Im Ernstfall gilt:

• Keine vorschnellen Reaktionen
• Systeme sichern
• Professionelle Hilfe in Anspruch nehmen

Wir stehen Unternehmen im Akutfall zur Seite – mit Forensik, Datenrettung & Wiederherstellung.

Schnell. Diskret. Zuverlässig.