CISA veröffentlicht aktualisierte Sicherheitsempfehlung zu Akira-Ransomware

Neue Erkenntnisse vom 13. November 2025 zeigen: Die Akira-Gruppe entwickelt ihre Angriffswerkzeuge rasant weiter. Betroffen sind weltweit KMU, Großunternehmen und kritische Infrastruktursektoren.

Die aktualisierte Analyse der CISA und zahlreicher Behördenpartner verdeutlicht: Akira bleibt eine der dynamischsten und aggressivsten Ransomware-Bedrohungen im internationalen Cybercrime-Ökosystem.

Update: Internationale Behörden warnen vor hochentwickelten Akira-TTPs

Die neue Version der gemeinsamen Sicherheitsempfehlung „#StopRansomware: Akira Ransomware“ entsteht in Kooperation zwischen CISA, FBI, DC3, HHS sowie europäischen Behörden wie Europol/EC3, OFAC und dem NCSC-NL.
Die Partner dokumentieren neu identifizierte Indikatoren für Kompromittierung (IOCs) und Taktiken, Techniken und Verfahren (TTPs), die im November 2025 erstmals analysiert wurden.

Die Akira-Akteure, mit Verbindungen zu Gruppen wie Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara und möglicherweise Conti, erweitern kontinuierlich ihre Fähigkeiten und nehmen branchenübergreifend Organisationen ins Visier – mit Fokus auf Fertigung, Gesundheitswesen, Finanzsektor, IT-Dienstleister sowie Lebensmittel- und Agrarwirtschaft.

Angriffskette: Neue Techniken und erweiterte Fähigkeiten der Akira-Gruppe

1. Erstzugriff über Edge-Geräte und Backup-Systeme

Angreifer nutzen Schwachstellen wie

• Authentifizierungs-Bypass

• Cross-Site-Scripting

• Buffer Overflows
  und greifen zusätzlich über Brute-Force-Angriffe auf Zugangsdaten zu. Besonders gefährdet sind öffentlich erreichbare Edge-Geräte, VPN-Gateways und Backup-Server.

2. Netzwerk- und Domänenaufklärung

Die Akteure setzen verstärkt auf Befehlszeilen-basierte Reconnaissance, um interne Strukturen effizient zu kartieren.

3. Umgehung von Abwehrmaßnahmen

Zur Tarnung und Persistenz nutzen die Gruppen legitime Fernwartungstools wie

• Anydesk

• LogMeIn
  und manipulieren daraufhin Firewall-Regeln, deaktivieren AV-Dienste und deinstallieren EDR-Lösungen.

4. Privilegieneskalation über POORTRY-Malware

Die Angreifer verwenden POORTRY, um BYOVD-Angriffe gegen anfällige Treiber durchzuführen. Dadurch können sie:

• Admin-Konten anlegen

• Zugangsdaten stehlen

• VMDK-Schutz umgehen

• Veeam-Schwachstellen ausnutzen

5. Laterale Bewegung mit gestohlenen Kerberos-Tickets

Die Gruppe bewegt sich über RDP, SSH und mithilfe von Pass-the-Ticket durch das Netzwerk.

6. Command & Control: Verschlüsselte Tunnel über Ngrok

Für verdeckte Kommunikation setzen die Angreifer ein:

• Ngrok für verschlüsselte externe Sitzungen

• SystemBC als Remote Access Trojan (RAT)

• STONETOP zum Ausrollen weiterer Akira-Payloads

7. Datenexfiltration über Cloud & Standardprotokolle

Akira nutzt

• FTP / SFTP

• verschiedene Cloud-Dienste
  zur schnellen und redundanten Exfiltration großer Datenmengen.

8. Neue Verschlüsselungsvariante Akira_v2

Die aktualisierte Akira_v2-Ransomware verschlüsselt Systeme deutlich schneller und erschwert Wiederherstellungsprozesse signifikant.

Globale Angriffswelle seit 2023 – inklusive Linux/ESXi-Variante

Seit März 2023 verzeichnet die Gruppe Angriffe auf Unternehmen und kritische Infrastrukturen in Nordamerika, Europa und Australien.
Ab April 2023 erweiterten die Angreifer ihr Arsenal um eine Linux-Variante speziell für VMware ESXi-Umgebungen – ein signifikanter Schritt, um virtualisierte Unternehmenslandschaften zu kompromittieren.

Fazit

Die aktualisierte Sicherheitsempfehlung bestätigt: Akira bleibt eine kontinuierlich wachsende Bedrohung, die sich gezielt auf Schwachstellen in hybriden IT-Umgebungen spezialisiert hat. Die Kombination aus neuen BYOVD-Techniken, schnelleren Verschlüsselungsprozessen und dem Missbrauch legitimer Tools macht die Gruppe besonders schwer zu erkennen und zu stoppen.

Organisationen sollten die veröffentlichten IOCs und Gegenmaßnahmen umgehend prüfen, Logging und Härtung kritisch bewerten und insbesondere Remote-Access-Infrastrukturen sowie Backup-Ketten absichern.

Mehr Lesestoff:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon