Hackergruppe Akira attackiert rund 200 Unternehmen in der Schweiz
Die Hackergruppe Akira hat ihre Aktivitäten in der Schweiz intensiviert. Rund 200 Unternehmen wurden Opfer von Ransomware-Angriffen. Der Schaden beläuft sich derzeit auf mehrere Millionen Franken und weltweit auf mehrere hundert Millionen Dollar.
Seit April vergangenen Jahres führt die Bundesanwaltschaft (BA) ein Strafverfahren, wie der Bund am Donnerstag mitteilte. Die Ermittlungen werden unter Koordination des Bundesamtes für Polizei (Fedpol) in enger Zusammenarbeit mit dem Bundesamt für Cybersicherheit (Bacs) und den Behörden verschiedener mitwirkender Länder geführt.
Die Hackergruppe Akira tauchte im März 2023 erstmals auf. Sie arbeitet mit spezieller und eigens entwickelter Software und verfügt über eine IT-Infrastruktur, die international über mehrere Länder verteilt ist. Dabei praktiziert sie die sogenannte doppelte Erpressung, bei der Daten des Opfers zuerst entwendet und dann verschlüsselt werden.
Wird das Lösegeld nicht innert der gesetzten Frist gezahlt, wird dem Opfer nicht nur der Entschlüsselungscode zu den Daten weiter vorenthalten, sondern Akira veröffentlicht diese Daten auf einem Blog im Darknet. Der Name dieses Blogs lautet «DLS» für «Data Leak Site». Die Zahlung des Lösegelds erfolgt in Kryptowährung, meistens in Bitcoin, wie es in der Mitteilung des Bundes weiter heisst.
Die Behörden gehen bei den von Angriffen Betroffenen von einer gewissen Dunkelziffer aus. Dies sei darauf zurückzuführen, dass die Opfer der Hackergruppe aus Angst um ihren Ruf das geforderte Lösegeld zahlen und auf Strafantrag verzichten.
Behörden warnen vor Lösegeld-Zahlung
Die Bundesanwaltschaft, das Fedpol und das Bundesamt für Cybersicherheit betonen, dass sich dank der Einreichung eines Strafantrages die Erfolgschancen im Kampf gegen solche kriminellen Gruppen steigen. Die Behörden warnen auch davor, Lösegeld zu bezahlen. Dieses diene nur der Finanzierung der kriminellen Aktivitäten.
Bei solchen Ransomware-Angriffen handelt es sich laut den Behörden zwar in der Regel um komplexe Angriffe, aber die Mehrzahl davon lasse sich vermeiden.
Der Zugriff bei solchen Angriffen erfolgt demnach meistens über nicht aktualisierte Systeme und Fernzugriffe wie VPNs (Virtual Private Networks) und RDPs (Remote Desktop Protocols), die nicht durch eine Zwei-Faktor-Authentifizierung geschützt sind. (dab/sda)
