ONE4 IT - News

Aktuelle Meldungen und Informationen

Akira Ransomware: Neue große Cyberbedrohung für Unternehmen

Die Akira-Ransomware ist erst seit März 2023 aktiv, aber nur ein halbes Jahr später gehört sie zu den am schnellsten wachsenden Ransomware-Familien. Ein Cyberangriff sorgt besonders für Schlagzeilen.

Wir erklären, was hinter Akira steckt und welche Zielgruppe von der Hackergruppe besonders ins Visier genommen wird.

Cyberkriminalität: Kein Tag ohne neue Schadsoftware

Tag für Tag 250.000 neue Malware-Varianten — über diese riesige Zahl berichtet das Bundesamt für Sicherheit in der Informationstechnik im BSI-Lagebericht 2023, der zeigt, dass ein hohes Risiko besteht, einer der unzähligen existierenden Varianten zum Opfer zu fallen. Und es zeigt auch, dass auf der Bühne der Cyberkriminalität ständig Bewegung herrscht: Eine Ransomware taucht auf, eine weitere verschwindet und die Trefferlisten besonders berüchtigter Schadsoftware zeigen ständige Höhen und Tiefen.

Ransomware stellt ein besonderes Risiko dar — diese Erkenntnis stellt auch das BSI in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland“ für 2023 erneut fest. Die Aggressoren haben es vor allem auf die Wirtschaft abgesehen, aber auch die öffentliche Verwaltung kann betroffen sein.

Ein sehr gutes Beispiel für die Bedrohung durch Schadsoftware ist die neuartige Akira-Ransomware. Die Hackergruppe dahinter hat in letzter Zeit für viele Schlagzeilen gesorgt. Wir haben die wichtigsten Informationen über Akira zusammengefasst.

Ein Mann sitzt geschockt am Laptop; sein Unternehmen ist Opfer der Akira-Ransomware. Bild: Pexels/Thirdman

Die erste Reaktion auf einen Ransomware-Angriff wie die Akira-Ransomware ist ein Schock. Bild: Pexels/Thirdman

Was ist Akira Ransomware?

Die Akira-Ransomware ist immer noch eine ziemlich neue Malware. Sie ist erst seit März 2023 aktiv, gilt aber schon nach wenigen Monaten als eine der am schnellsten wachsenden Ransomware-Familien. Erklärung: Ramspyware gibt es oft in verschiedenen Varianten oder Modifikationen des ursprünglichen Schadcodes, Ziel ist es, mit einer noch unbekannten Variante durch das Netz der Sicherheitslösungen zu fallen und sich Zugriff auf Systeme von Drittanbietern zu verschaffen.

Der Name Akira steht jedoch nicht nur für die Ransomware selbst, sondern auch für die Gruppe der Hacker, die dahinter steckt. Laut einer Studie des Sicherheitsunternehmens Logpoint gehört diese Gruppe von Hackern derzeit zu den aktivsten kriminellen Organisationen im Bereich der Internet-Erpressung. Dabei wird die Taktik der doppelten Erpressung angewendet: Die Angreifer stehlen die Daten ihrer Opfer, bevor diese diese verschlüsseln. Das verleiht der Lösegeldforderung zusätzlichen Nachdruck, da (persönliche) Daten nicht nur verloren gehen, sondern auch im Darknet veröffentlicht werden könnten.

Akiras Lösegeldforderungen sind oft hart, denn laut der IT-Sicherheitsfirma Malwarebytes verlangt Akira oft Lösegeld zwischen 200.000 und mehreren Millionen US-Dollar. In erster Linie attackiert die Hacker-Gruppe Unternehmen mit bis zu 200 Mitarbeitern. Zunächst konzentrierte sie sich hauptsächlich auf Unternehmen in den USA und Kanada, jetzt konzentriert sie sich zunehmend auch auf Unternehmen in Europa.

Akira, verantwortlich für den Angriff auf die IT in Südwestfalen

Im vierten Quartal 2023 sorgte die Hackergruppe Akira in Deutschland für zahlreiche Schlagzeilen. In der Nacht vom 29. auf den 30. Oktober 2023 wurde ein Cyberangriff auf Südwestfalen-IT (SIT) entdeckt. SIT ist ein Kommunalverband, der als Dienstleister die IT für 72 Gemeinden betreibt. Als Reaktion darauf hatte SIT alle Systeme heruntergefahren.

Es ist jetzt bekannt, dass die Akira-Hackergruppe für diesen Angriff verantwortlich ist. Nach dpa-Informationen geht aus einem vertraulichen Bericht des Innenministeriums an den Landtag hervor, dass die Hacker die Server der Südwestfälischen IT verschlüsselt und eine Nachricht hinterlassen hatten: Sie konnten über das Darknet kontaktiert werden — vermutlich, um die Höhe des Lösegelds auszuhandeln.

Eine forensische Analyse zeigt, dass die Notabschaltung der Systeme Schlimmeres verhindern und den Angriff stoppen konnte: Obwohl das Kernsystem des Diensteanbieters betroffen war, verhinderte die drastische Maßnahme, dass es sich auf kommunale und bezirkliche Systeme ausbreitete.

Zu sehen sind Kollegen, die nicht arbeiten können, weil die Systeme lahmgelegt sind; wegen der Akira-Ransomware? Bild: Pexels/RDNE Stock project

Alle Systeme lahmgelegt, keine Chance zu arbeiten — so erging es Gemeinden in Südwestfalen nach einem Angriff mit der Akira-Ransomware. Bild: Pexels/RDNE Stock Project

Ransomware-Angriff mit weitreichenden Folgen

Dennoch wurden mehrere Dutzend Gemeinden plötzlich ihrer IT-Infrastruktur beraubt — und das zog sich über Wochen hin. Die Folgen waren enorm: Die Bürgerdienste von Gemeinden mit insgesamt rund 1,7 Millionen Einwohnern waren lahmgelegt, Pässe und Führerscheine konnten nicht ausgestellt werden, Sozialhilfe und Wohngeld konnten nicht ausgezahlt werden, manche Städte mussten sich sogar Sorgen um ihre Liquidität machen.

Erst Ende November konnte die IT Südwestfalens die noch nicht betroffenen Systeme wieder in Betrieb nehmen, wodurch die ersten Dienste wieder verfügbar waren. Der betroffene Teil des Rechenzentrums musste jedoch komplett umgebaut werden, sodass viele Dienste immer noch nicht verfügbar waren — es wurde erwartet, dass es bis Mitte Dezember dauern würde, bis bestimmte Dienste wieder verfügbar waren.

Das liegt auch daran, dass die IT Südwestfalens und die betroffenen Gemeinden sich weigern, ein Lösegeld zu zahlen. Damit folgen sie der offiziellen Empfehlung des BSI: Einerseits würde die Zahlung des Lösegelds nicht garantieren, dass die Systeme mit dem Entschlüsselungstool der Hacker tatsächlich wiederhergestellt werden könnten, andererseits würde es die Hacker nur zu weiteren Angriffen ermutigen.

Akira Ransomware: So funktioniert der Angriff

Hackergruppen folgen oft einem festen Muster, wenn es um ihre Angriffe geht. Bei den Akira-Hackern ist das nicht anders. Sicherheitsexperten haben bei Akira-Ransomware-Angriffen das folgende Verfahren beobachtet:

    Infektion: Die Forscher gehen davon aus, dass Cyberangriffe in der Regel mit einer Phishing-E-Mail oder bösartigen Websites beginnen. Sobald ein Opfer auf einen bösartigen Link oder Anhang klickt, beginnt der Download der Akira-Ransomware. Ohne angemessene Sicherheitsmaßnahmen expandiert Akira im gesamten Netzwerk.

  1. Datendiebstahl: Befindet sich die Ransomware im System, bereiten sich die Angreifer auf eine doppelte Erpressung vor, indem sie die Daten des Unternehmens auf ihre eigenen Server kopieren.
  2. Datenverschlüsselung: Sobald der Datendiebstahl abgeschlossen ist, verschlüsselt Akira die Unternehmensdaten mithilfe starker Verschlüsselungsalgorithmen. Dadurch werden die Daten unlesbar und unbrauchbar.
  3. Löschen von Schattenkopien: Akira-Hacker löschen Sicherungskopien von Unternehmensdaten, die in irgendeiner Weise mit dem Netzwerk verbunden sind. Auf diese Weise verhindern sie, dass Opfer die verschlüsselten Daten problemlos wiederherstellen können. Dies erhöht den Druck, der von der Lösegeldforderung ausgeht.
  4. Lösegeldforderung: Werden die Dateien kopiert und verschlüsselt, hinterlässt die Hackergruppe Akira eine Nachricht. In einigen Fällen enthält diese Nachricht direkte Anweisungen zur Zahlung eines Lösegeldes von X in Bitcoin und eine Frist für die Zahlung, in einigen Fällen wird einfach nach einer Kontaktaufnahme im Darknet gefragt.
  5. Verhandlung: Es stellt sich heraus, dass die Akira-Hacker bereit sind, mit ihnen zu handeln. Die Gruppe ist beispielsweise bereit, ihre Forderungen zu senken, wenn die Opfer einfach dafür zahlen, die von Akira gestohlenen Daten nicht zu veröffentlichen, aber keinen Entschlüsseler, also den Schlüssel zum Entschlüsseln ihrer Daten, benötigen.
  6. Entschlüsselung: Reagieren die Opfer auf die Lösegeldforderung, stellt Akira das Entschlüsselungstool zur Verfügung und verzichtet auf die Veröffentlichung der gestohlenen Daten. Zumindest theoretisch. Die Opfer haben dafür keine Garantie.

Akira verwendet für die Kommunikation übrigens ein sogenanntes Tor-basiertes Kommunikationssystem. Das macht es für Ermittler schwierig, die Angreifer aufzuspüren und ihnen das Handwerk zu legen.

Hände bedienen eine Laptop-Tastatur. Bild: Pexels/Cup of Couple

Opfer der Akira-Ransomware werden aufgefordert, Akira-Hacker über das Darknet zu kontaktieren. Bild: Pexels/Cup of Couple

Forscher stellen Entschlüsselungstool zur Verfügung

Sicherheitsforschern von Avast ist es bereits im Juli gelungen, ein eigenes Entschlüsselungstool zu entwickeln. Opfer des Erpressungstrojaners Akira können so wieder auf ihre Daten zugreifen, ohne das Lösegeld zu zahlen. Dafür müssen allerdings gewisse Voraussetzungen erfüllt sein: Opfer benötigen neben der verschlüsselten Version — erkennbar an der Dateiendung „.akira“ — sowie der unverschlüsselten Originalversion mindestens eine Datei. Dadurch sollte das Entschlüsselungstool dann in der Lage sein, alle anderen verschlüsselten Dateien wieder lesbar zu machen.

Opfer, die diesen Weg wählen (können), stehen immer noch vor dem speziellen Problem der doppelten Erpressung: Die Hackergruppe Akira kann die erbeuteten Daten immer noch im Darknet veröffentlichen und/oder verkaufen. Je nachdem, welche Art von Daten gestohlen wurde, können die Auswirkungen auf Unternehmen dramatisch sein. Sie reichen von Imageschäden über Datenschutzverstöße bis hin zur Verwendung von Daten für weitere Angriffe. Dennoch sind sich Sicherheitsforscher einig, dass Lösegeld niemals gezahlt werden sollte.

Opfer der Akira-Ransomware: Was tun?

Wenn Ihr Unternehmen Opfer eines Cyberangriffs mit Akira-Ransomware ist, sollten Sie nicht lange warten, um darauf zu reagieren. Wir empfehlen Ihnen, so schnell wie möglich die folgenden Schritte zu unternehmen:

  1. Ergreifen Sie sofort Gegenmaßnahmen, um eine Ausbreitung im Unternehmensnetzwerk möglicherweise rechtzeitig zu verhindern. Eine Notabschaltung Ihrer Systeme ist auf jeden Fall eine Überlegung wert. Versuche so ruhig wie möglich zu sein. Möglicherweise haben Sie einen solchen IT-Notfall schon geprobt und wissen daher, was zu tun ist.
  2. Folgen Sie der offiziellen Empfehlung, indem Sie nicht auf die Lösegeldforderung antworten. Idealerweise haben Sie sich mit der 3-2-1-Backup-Regel auf einen Cyberangriff vorbereitet und verfügen über eine externe Sicherungskopie Ihrer Unternehmensdaten.
  3. Melden Sie den Angriff sofort den Behörden. Dies bietet die Möglichkeit, die Angreifer ausfindig zu machen und sie, falls die Ermittlungen erfolgreich sind, möglicherweise sogar vor Gericht zu stellen. Darüber hinaus sind Unternehmen verpflichtet, zu melden, wenn eine Datenschutzverletzung vorliegt oder nicht ausgeschlossen werden kann.
  4. Wenden Sie sich an IT-Experten, die Ihnen bei der Wiederherstellung der verschlüsselten Daten helfen können. Vielleicht kann Ihnen das erwähnte kostenlose Entschlüsselungstool von Avast dabei helfen. In jedem Fall ist es durchaus möglich, dass es einige Anstrengungen erfordert, die Systeme vollständig wiederherzustellen. Experten helfen Ihnen, den Geschäftsbetrieb so schnell wie möglich wieder aufzunehmen.
  5. Es ist auch wichtig, eine forensische Analyse durchzuführen, um feststellen zu können, wie der Angriff erfolgreich war. Gut zu wissen: Wenn Sie eine Cyberversicherung abgeschlossen haben, übernimmt diese möglicherweise die Kosten für den Einsatz von IT-Forensik-Experten.
  6. Basierend auf den Ergebnissen der forensischen Analyse sollten potenzielle Schwachstellen anschließend behoben werden. Testen Sie Ihre Sicherheitsmaßnahmen auf Herz und Nieren und optimieren Sie Ihre Abwehr — damit ein solcher Cyberangriff nicht erneut erfolgreich sein kann.

Sollten Sie einen IT-Dienstleister benötigen, der Ihnen bei der Reaktion auf den Ransomware-Angriff hilft, zögern Sie nicht, uns zu kontaktieren. Unsere IT-Experten helfen Ihnen im Härtefall gerne weiter.

Zu sehen ist ein nachdenklicher Mann. Bild: Pexels/Andrea Piacquadio

Reagieren Sie so ruhig wie möglich — das ist ein wichtiger Tipp, um auf einen Ransomware-Angriff zu reagieren. Bild: Pexels/Andrea Piacquadio

Wie schützen sich Unternehmen vor Akira

Unternehmen, die das Glück haben, noch nicht ins Visier der Akira-Hacker geraten zu sein, sollten die Gelegenheit nutzen, ihre Sicherheitsmaßnahmen rechtzeitig zu überprüfen. Die folgenden Maßnahmen können maßgeblich zum Schutz vor Ransomware wie Akira beitragen:

    Implementieren Sie eine umfassende Sicherheitsstrategie, die sowohl Vorbeugung als auch Gegenmaßnahmen umfasst. Dazu gehört auch der Schutz durch effiziente Sicherheitslösungen wie effizientes Viren- und Anti-Malware-Management. Diese Programme können dabei helfen, Ransomware-Angriffe zu erkennen und zu blockieren. Dazu gehört aber auch, auf Notfälle vorbereitet zu sein — durch die Erstellung eines IT-Notfallhandbuchs und regelmäßige Notfallübungen.

  • Stellen Sie sicher, dass Ihre Systeme mit den neuesten Sicherheitsupdates ausgestattet sind. Es kommt immer häufiger vor, dass Softwarelösungen Sicherheitslücken aufweisen, die Angreifer nur allzu gerne ausnutzen. Regelmäßige Softwareupdates beinhalten häufig Sicherheitsupdates, die Sie vor Ransomware schützen können. Ein effizientes Patch-Management ist hier der Schlüssel.
  • Sichern Sie Ihre Unternehmensdaten regelmäßig. Halten Sie sich am besten an die 3 — 2 — 1-Regel, die unter anderem eine Kopie weit weg vom Unternehmensnetzwerk erfordert. Das bedeutet, dass Sie immer eine aktuelle Kopie Ihrer Dateien haben, falls Ihr Netzwerk mit Ransomware infiziert ist. IT-Experten unterstützen hier beim Backup-Management.
  • Verwenden Sie die Multi-Faktor-Authentifizierung (MFA) für alle vertraulichen Konten. Die Hackergruppe Akira scheint auch gerne Konten ins Visier zu nehmen, die nicht mit MFA gesichert sind. Hier sollte man bei der sicheren Zugriffsverwaltung auf jeden Fall Vorkehrungen treffen.
  • Seien Sie vorsichtig mit Links und Anhängen, auf die Sie in E-Mails oder auf Webseiten klicken. Die Akira Group scheint potenzielle Opfer auch über Phishing-E-Mails und bösartige Websites anzugreifen. Schulungen zum Sicherheitsbewusstsein tragen dazu bei, dass Ihre Mitarbeiter angemessen sensibilisiert werden.

Die wichtigsten Maßnahmen sind hier aufgeführt, aber es ist in jedem Fall sinnvoll, die bereits umgesetzten Sicherheitsmaßnahmen einzeln überprüfen zu lassen. IT-Experten führen gerne eine entsprechende Analyse durch und identifizieren Optimierungspotenziale individuell.

IT-Experten riegeln Unternehmen ab

Fakt ist: Akira-Ransomware ist eine ernste Bedrohung, die Unternehmen und Einzelpersonen erheblichen Schaden zufügen kann. Sie sollten diese Bedrohung keinesfalls auf die leichte Schulter nehmen: Stellen Sie sich vor, Sie könnten, wie die Gemeinden in Südwestfalen, wochenlang nicht auf eine funktionierende IT-Infrastruktur zurückgreifen — was würde das mit Ihrem Unternehmen machen? Wir gehen davon aus, dass Sie dieser hypothetischen Frage nicht auf den Grund gehen wollen…

Deshalb ist, wie so oft, Vorbeugung besser als Nachsorge. Zwar gibt es nie einen 100-prozentigen Schutz vor Cyberangriffen, da sich die Angriffe ständig weiterentwickeln und, wie eingangs erwähnt, Tag für Tag neue Schadsoftware entwickelt wird, die Sicherheitslösungen daher noch unbekannt ist, dennoch gibt es zahlreiche Möglichkeiten, Cyberangriffe vollständig abzuwehren oder zumindest so schnell wie möglich darauf zu reagieren. Möchten Sie mehr darüber erfahren? Dann wenden Sie sich an uns und informieren Sie sich!


Weitere Informationen:
it-daily, it-daily, heise, tagesschau, SPIEGEL
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.

Lesen Sie den Originalartikel auf IT-SERVICE.network