AKIRA RANSOMWARE aktiv in der Schweiz

Zusammenfassung

Akira ist eine hochprofessionelle Ransomware-as-a-Service (RaaS)-Operation, entstanden Anfang 2023 und bis 2024–2025 zu einem der aktivsten Erpressernetzwerke herangewachsen. Das System basiert auf Double-Extortion (Zuerst Datendiebstahl, dann Verschlüsselung + Veröffentlichungsdrohung), zielt auf Mittelstandsunternehmen und MSPs und trennt Rollen strikt zwischen Eindringern/Affiliates und zentralisierten Verhandlungs-/Operator-Teams. In den letzten Monaten wurde eine verstärkte Aktivität gegen Schweizer Firmen beobachtet; außerdem existiert ein bestätigter Vorfall gegen eine US-Tochterfirma von RUAG (Mecanex USA / RUAG LLC). Öffentlich dokumentierte TTPs (Tactics, Techniques, Procedures) umfassen Ausnutzung exponierter VPN-/Appliance-Schwachstellen, Credential-Abuse, „living-off-the-land“, EDR/AV-Deaktivierung, Datendiebstahl sowie Multi-Plattform-Verschlüsselung (Windows, Linux, ESXi).

Markt-Kontext: Ransomware & RaaS-Modell

• RaaS-Ökonomie: Moderne Ransomware funktioniert wie eine Plattform: Entwickler/Operatoren stellen Payloads, Leak-Sites, Verhandlungsportale und Dokumentation bereit; Affiliates bringen Initialzugang (Phishing, gekaufte Zugänge, ausgenutzte Appliances) und erhalten eine Umsatzbeteiligung. Diese Spezialisierung ermöglicht Skalierung und schnelle Replikation von Angriffswellen.

• Double-Extortion-Norm: Seit 2021–2023 hat sich der Standard von reiner Verschlüsselung hin zu Datendiebstahl vor Verschlüsselung verschoben. Diese Praxis erhöht Erpressungspotenzial und führt zu höheren Forderungen und größerem Druck auf Opfer. RaaS-Strukturen vergrößern die Angreiferfläche; technische Gegenmaßnahmen allein sind unzureichend — kombinierte Maßnahmen (technisch, finanziell, rechtlich) sind erforderlich.

AKIRA: Identität, Umfang und Struktur

• Ursprung & Einordnung: Akira tauchte öffentlich ca. März 2023 auf. Analysen zeigen Code- und Operations-Verwandtschaften zu älteren RaaS/Conti-Linien. Akira agiert als RaaS mit eigener Leak-Site, Chat/Verhandlungsportal und Affiliate-Netzwerk.

• Umfang: Meldungen 2024–2025 verweisen auf hunderte beanspruchte Opfer global; Behörden in der Schweiz berichteten über eine Zunahme mit rund 200 gemeldeten Schweizer Opfern. Schäden werden in vielen Fällen auf Millionen lokal bzw. mehrere hundert Millionen global geschätzt.

• Organisation: Klare Rollentrennung: Affiliates führen Kompromittierungen durch; zentrale Verhandlungs-/Geldmanagement-Teams betreiben Leak-Site und Zahlungsvorgänge.

Typische AKIRA-TTPs (vom Erstzugang zur vollständigen Kompromittierung)

Initialer Zugriff

• Exponierte VPN/Remote-Appliances: (SonicWall, Fortinet, Cisco ASA/FTD) — Ausnutzung ungepatchter Geräte oder Fehlkonfigurationen; ferner Credential-Stuffing gegen Single-Factor-VPNs.

• Kompromittierte Zugangsdaten / gekaufte Zugänge: Phishing, Infostealer, Markt-Käufe führen zu RDP/VPN-Zugängen.

• MSP/Third-Party-Kompromittierung: Zugriff auf Dienstleister wird genutzt, um Multi-Tenant-Umgebungen anzugreifen.

Discovery & Eskalation

• Netzwerk- und AD-Erkundung, Auffinden von Backups/ESXi-Hosts. Privilegienerweiterung durch Credential-Dumping (z. B. Mimikatz-Techniken) und Missbrauch von Service-Accounts.

Evasion & Persistenz

• EDR/AV-Umgehung: Abschalten/Beeinträchtigung von Microsoft Defender oder anderen EDR-Komponenten; teils Verwendung verwundbarer oder signierter Treiber (BYOVD-Taktiken) zur Umgehung von Kernel-Schutzmechanismen.

• Living-off-the-land: Nutzung legitimer Windows-Tools (PsExec, WMI, PowerShell, RMM-Tools) zur lateralen Bewegung und Ausführung.

Exfiltration & Impact

• Datendiebstahl vor Verschlüsselung: Staging der Daten (S3/Cloud, externe FTP/HTTP), Aufbewahrung von „Beweisdateien“ für Verhandlungen.

• Multi-Plattform-Verschlüsselung: Windows-Encryptor, Linux-Varianten und gezielte ESXi/VM-Festplattenmanipulation. Berichte zeigen teils Neuentwicklungen in Rust zur Portabilität/Obfuskation.

Verhandlungs-Playbook & Verhaltensprofil (wie Akira verhandelt)

Aus Chat-Logs, Leak-Site-Einträgen und wiederholten Mustern lassen sich folgende Standardtaktiken ableiten:

• Beweis der Besitzlage: Angebot, einige (2–3) Dateien zu entschlüsseln bzw. entcryptete Proben hochzuladen.

• Hoher Eröffnungsanker + Rabattstrategie: Start mit hoher Forderung, danach gestaffelte Reduzierungen oder Zahlungsteilungen.

• Zeitdruck: Deadlines (24–72 h) vor Veröffentlichung, um Entscheidung zu erzwingen.

• Gestaffelte Entschlüsselung: Teilzahlungen können zu Teilentschlüsselungen führen — dient als Glaubwürdigkeitsbeweis.

• Law-Enforcement-Abschreckung: Opfer werden häufig ermutigt, nicht zu melden bzw. vor möglichen Nachteilen gewarnt.

• Rollen-Trennung: Verhandlungsaufgaben übernimmt ein spezialisiertes Team/Persona; dies schützt die Affiliate-Operatoren.

Akira in der Schweiz & RUAG / Mecanex USA-Vorfall

• Schweizer Welle (2024–2025): Schweizer Behörden (NCSC, OAG/fedpol) meldeten eine verstärkte Kampagne mit vielen betroffenen Firmen; nationale Ermittlungen laufen. Koordination mit Behörden wird empfohlen.

• RUAG / Mecanex USA (Virginia): Öffentliche Hinweise und Aggregatoren listen Mecanex USA / RUAG LLC als von Akira beanspruchtes Opfer; Medien (u. a. investigative Berichte) berichteten über einen Vorfall an einer US-Tochter von RUAG, bei dem vermutlich Aviation-spezifische Daten betroffen sind (Ersatzteil-/Wartungsbereich, F-5, F/A-18 Kontext). Akira-Claims sprechen von anstehenden Veröffentlichungen (z. B. ~24 GB Unternehmensdaten).

Beurteilung: Vorfall ist konsistent mit Akira-Double-Extortion-Modus; jedoch erfordert eine belastbare, forensisch belegte Verbindung (Logs, Leak-Site-Einträge mit firmeninternen Dateihashes, Zeitstempelabgleich) zur abschließenden Bestätigung.

Finanzflüsse & Blockchain-Beobachtbarkeit (Kurzüberblick)

• On-chain-Beobachtung: Ransom-Zahlungen landen oft in öffentlich einsehbaren Bitcoin-Adressen, die Verhandlungsportale veröffentlichen oder die Open-Source-Tracker sammeln. Öffentliche Explorer zeigen Salden und Transaktionen, eignen sich jedoch nur bedingt zur vollständigen Cluster-Auflösung.

• Einschränkungen: Konsolidierung, Mixer/Tumbler, Krypto-Brücken und Kooperation mit einschlägigen CEXs erschweren Rückverfolgung; für verlässliche Cluster-Analysen empfiehlt sich kommerzielle Blockchain-Forensik (Chainalysis, Elliptic, TRM) kombiniert mit Rechtsmitteln gegenüber Börsen.

Kurzfassung: Es gibt öffentlich gelistete Bitcoin-Adressen, die in mehreren Open-Source-Analysen und IoC-Listen Akira zugeschrieben werden. Einige Analysen listen Einzel-Wallets mit hohen Eingängen (Beispiel: ~38,56 BTC an einer Adresse). Diese öffentlichen Angaben sind nützlich zur Beobachtung einzelner Adressen, aber sie stellen kein vollständiges Accounting aller Akira-Einnahmen dar — Operatoren verwenden viele Wallets, Konsolidierungs-/Peel-Chains, Mixer und CEX-Cashouts.

Öffentliche, wiederholt zitierte BTC Adressen von Akira  (Beispiele aus Open-Source-Analysen)

Wichtig: Die Liste ist nicht vollständig.

• bc1qr0pqfghr9cksfc5arr2rak3lt2y50v03pc76nh — in Open-source-unwinds erwähnt; einer Analyse zufolge hatte diese Adresse ~38.55837013 BTC in einer beobachteten Transaktion (Quelle: detaillierte wallet-analysis).

• bc1qpwwtck0zhzrj56fxeayz6wz5546nlp607qzpvh — wiederholt in IoC-Listen verzeichnet (teilweise kleine TX-Volumina).

• bc1qandfxc4knaf943njca77edl9mmegzs83tv8lpx — genannt in open analyses als weiteres beobachtetes Einzahlungs-wallet.

Initial-Access-Vektoren (mit Quellen & Details)

Aus den bekannten Akira-TTPs und Chats lassen sich konkrete Hypothesen über den Erstzugang ableiten. Die folgenden Vektoren sind die wahrscheinlichsten und wiederkehrendsten in Akira-Kampagnen.

Remote-access / VPN compromise (Credential stuffing oder Appliance-Vuln)

• Wie: Angreifer nutzen alte/ungepatchte VPN/SSL-Appliances (SonicWall, Cisco ASA/FTD, SMA-Geräte) oder gestohlene Anmeldedaten, ggf. inklusive OTP-Seeds, um einen externen Einstiegspunkt zu erhalten. Sobald ein Gateway kompromittiert ist, ermöglichen RDP/SMB/Management-Tunnel einfachen lateralen Zugriff.

• Warum passt das zum Chat: Die Angreifer behaupten „we have access everywhere“ — typische Folge eines erfolgreichen Perimeter-Pivot von einem kompromittierten VPN/SSL-Gateway in die interne Zone.

• Quellen / Observed Campaigns: SonicWall-bezogene Wellen (Juli–Aug 2025) und advisories (SonicWall, Rapid7, Arctic Wolf) zeigen wiederholte Ausnutzung oder Missbrauch von SMA/SSLVPN-Funktionen in Akira-Vorfällen.

Kompromittiertes RDP / gestohlene privilegierte Credentials

• Wie: Passwort-Reuse, Phishing oder Infostealer (Credential-harvesters) liefern Domain-Admin-Zugang; Credential-Dumping-Tools (Mimikatz) verstärken die Eskalation.

• Warum passt das zum Chat: Breite Systemzugriffe und zielgerichtete Exfiltration erfordern hohe Rechte (Domain Admin / root) — die Chat-Behauptungen über vollständigen Zugriff sind konsistent damit. SafeBreach

Exposed Management Interfaces / ungepatchte Appliances (Fortinet, Cisco, SonicWall, SAML/OAuth Misconfigs)

• Wie: Management-Portale mit Default-Credentials, offenem Admin-Interface oder SAML/OAuth-Misskonfiguration werden gezielt ausgenutzt, oft kombiniert mit Exploit-Chaining für RCE.

• Beispiel / Relevante Quellen: Rapid7 / Techradar / Bitsight beschreiben aktive Ausnutzung langer bekannter Schwachstellen in SonicWall/anderen Geräten durch Akira-Affiliates. Diese Vektoren führen schnell zu persistenter Zugriffsebene.

Phishing → Infiltration → interne Tools / Cobalt Strike

• Wie: Klassischer Phish → Malicious payload → C2 (Cobalt Strike/Empire) → lateral movement / credential harvesting. Affiliates verwenden bekannte red-team tooling für persistente Operations.

• Warum relevant: Diese Methode ermöglicht ausreichend Persistence und C2-Steuerung, um große Datenmengen über Tage/Wochen zu exfiltrieren — konsistent mit double-extortion-Fällen. Cyberint

Fazit zu Vektoren

• Die dominanten beobachteten Pfade in Akira-Fällen sind (1) exponierte VPN/SSL-Appliances (SonicWall etc.) + (2) gestohlene/gekaufte Credentials → schnelles Eskalieren zu Domain Admin. (3) Management-Interface-Exploits + (4) Phishing/Cobalt Strike-Chains sind ebenfalls häufig. Alle vier erklären die im Chat behauptete „we have access everywhere“-Situation sehr gut.

Abschließende Bewertung

Akira ist eine eingesessene, industrielle RaaS-Plattform mit stark standardisierten, skalierbaren Prozessen: gezielte Initialzugänge über exponierte Remote-Services oder Zugangsdaten; tiefe Netzwerkerkundung; Datendiebstahl vor Verschlüsselung; und professionelle Verhandlungsführung zur Monetarisierung. Die verstärkte Aktivität gegen Schweizer Firmen und der RUAG-bezogene Vorfall zeigen die erhöhten Risiken für verteidigungsnahe Zulieferer und die Notwendigkeit frühzeitiger, koordinierter Ermittlungs- und Präventionsmaßnahmen. Disruption erfordert technische Forensik, rechtliche Hebel (z. B. MLATs, Anfragen an Börsen) und operative Takedowns gegen Infrastruktur.

👉 Jetzt Live-Demo buchen