Die Akira-Ransomware verschafft sich Zugang über kompromittierte VPN-Zugänge ohne zweiten Log-in-Faktor (2FA/MFA) oder über ungepatchte Schwachstellen in IT-Systemen und breitet sich im gesamten Unternehmensnetzwerk aus. Dabei setzen die Angreifer auf doppelte Erpressung: Zum einen fordern sie Lösegeld für die Entschlüsselung der Daten, zum anderen drohen sie mit der Veröffentlichung sensibler Informationen, sofern keine Zahlung erfolgt. Unternehmen, die keine Phishing-resistente Authentifizierung und keine kontinuierliche 24/7-Überwachung ihrer Systeme implementiert haben, riskieren, innerhalb von 72 Stunden in die Schlagzeilen zu geraten.
Betroffen? Rufen Sie bei der 24/7-Notfallhotline der Trufflepig IT-Forensics GmbH an und lassen Sie uns gemeinsam diesen Vorfall beenden: +49 157 92500100
Die Trufflepig IT-Forensics GmbH berät Sie gerne jederzeit, nehmen Sie noch heute Kontakt zu uns auf. Telefonisch unter +49 8441 4799976 oder per E-Mail über kontakt@trufflepig-forensics.de.
Akira tauchte das erste Mal im März 2023 auf und hat laut FBI & CISA inzwischen über 800 Unternehmen erpresst und rund 42 Mio. USD erbeutet. Die Gruppe agiert wie ein Ransomware-as-a-Service (RaaS) und trifft bevorzugt Industrie, Fertigung und kritische Infrastruktur (siehe Barracuda Blog).
| Phase | Technik | Beispiele |
|---|---|---|
| Erster Zugriff ins Firmennetzwerk | Ausnutzen ungepatchter Cisco-VPNs oder SonicWall-Lücken CISABitdefender | Keine oder schwache MFA |
| Ausbreitung im gesamten Netzwerk | AdFind, Advanced IP Scanner, RDP, AnyDesk Trend Micro | Schnelle Priviledge Escalation |
| Der Schaden | Verschlüsselung (Akira v2 / Megazord) & Daten-Exfiltration zur Leak-Site CISA | Doppelte Erpressung |
Durch die Ausnutzung von Tools wie beispielsweise AdFind landet eine Liste aller Ihrer Mitarbeiter beim Angreifer. Dies ist ein Werkzeug der doppelten Erpressung, bei Nichtzahlung droht nach ca. 72 Stunden die Veröffentlichung sämtlicher exfiltrierter Daten.
Take-away: Klassische 2FA (Push/TOTP) lässt sich per Phishing abfangen – Akira nutzt das aus. Daher lautet die erste Verteidigungslinie: Passkeys (FIDO2).
Trufflepig-Praxis: Wir unterstützen Sie bei der Integration von FIDO2-Security-Keys oder gerätegebundenen Passkeys in Ihr Azure AD / Entra ID oder andere Identity-Provider – inklusive der Entwicklung von Richtlinien, die unsichere 2FA-Methoden automatisiert ablösen. Blogpost: Anmeldung 2025
Traditionelle Virenscanner vergleichen Dateien mit einer Signaturdatenbank. Weil Gruppen wie Akira bei jedem Angriff leicht veränderte Versionen ihres Codes erzeugen, ihre Verschlüsselungsroutine direkt im Arbeitsspeicher starten oder ganz auf legitime System-Werkzeuge wie PowerShell oder RDP setzen, gibt es für viele Varianten schlicht noch keine Signatur – der Scanner bleibt blind. Selbst „Next-Gen-AV“ leitet seine Erkennung letztlich aus Dateien ab und schlägt deshalb erst an, nachdem Schadcode geschrieben wurde. Moderne EDR- und XDR-Plattformen setzen deshalb auf Verhaltensanalysen: Sie stoppen Prozesse in Echtzeit, wenn diese plötzlich massenhaft Dateien überschreiben, verdächtige Administratorrechte anfordern oder verschlüsselte Daten in externe Netze schicken. Dass dieser Ansatz funktioniert, zeigt die unabhängige MITRE ATT&CK-Evaluierung 2024: Spitzenlösungen wie SentinelOne erkannten dort sämtliche Angriffsschritte – etwas, das klassische AV-Engines verfehlten (siehe Stormshield und SentinelOne).
Nicht jede EDR/XDR-Suite liefert diese Treffsicherheit. In derselben MITRE-Runde blieben einzelne Produkte weit unter voller Abdeckung, während Marktführer 100 % Detection erzielten. Auch The Forrester Wave™ „Extended Detection and Response Platforms, Q2 2024“ attestiert nur wenigen Anbietern durchgängig hohe Scores über alle 22 Bewertungskriterien hinweg. Andere fallen bei Kernfunktionen wie Telemetriekorrelation oder automatisierter Reaktion deutlich zurück (siehe Forrester und SentinelOne).
Damit eine XDR-Plattform ihr volles Potenzial entfaltet, muss sie von erfahrenen Forensikern eingerichtet, permanent feinjustiert und rund um die Uhr überwacht werden. Erst diese Praxis räumt Fehlalarme aus, passt Erkennungsregeln an Ihr Geschäftsmodell an und leitet bei echten Vorfällen binnen Minuten Gegenmaßnahmen ein.
Managed Detection & Response von Trufflepig vereint genau diese Echtzeit-Verhaltensanalyse mit 24/7-Spezialistensupport: Signale von Endpunkten, Netzwerk und Cloud werden automatisiert korreliert und Angriffe schon in der Entstehung gestoppt. Mehr Informationen unter trufflepig-forensics.de/services/medr.
Unser Zero-Trust-Framework segmentiert Netzwerke, erzwingt Passkeys und nutzt kontinuierliche Risikobewertungen – perfekt kombinierbar mit Managed Detection & Response und SOC.
Speichern Sie die Nummer jetzt ab! Im Ernstfall zählt jede Minute.
Akira Ransomware stoppt man nicht mit klassischen Schutzmaßnahmen. Kombinieren Sie Passkeys, Managed EDR/XDR, ein 24/7 SOC und Zero-Trust-Segmentation – Leistungen, die Trufflepig IT-Forensics GmbH aus einer Hand liefert.
Vereinbaren Sie noch heute ein unverbindliches Strategiegespräch oder rufen Sie im Notfall sofort unter +49 157 92500100 an.
Kontakt Deutschland Trufflepig IT-Forensics GmbH Hopfenstraße 28 85283 Wolnzach
+49 8441 4799976 kontakt@trufflepig-forensics.de
Kontakt Schweiz Trufflepig IT-Forensics AG Avenue Beauregard 1 1700 Freiburg
+41 26 588 01 82 kontakt@trufflepig-forensics.ch
