Akira Ransomware - Bedrohung, Taktiken & Schutzmaßnahmen
Screenshot der Akira-Leakseite (Tor Hidden Service)
🔔
🛡️ Soforthilfe bei Akira
24/7 Incident Response durch Experten. Melden Sie sich jetzt - wir unterstützen sofort.
Allgemeine Informationen
- Erkannt seit: März 2023
- Modell: Ransomware-as-a-Service (RaaS)
- Verbindung zu: Ehemalige Conti-Mitglieder
- Opferzahl: Über 250-350 weltweit
- Zielbranchen: KMUs, Bildung, Fertigung, Infrastruktur
- Typische Lösegeldforderungen: 200.000 - 4 Mio. USD
Dateiendungen & Ransomnote
.akira- Erweiterung verschlüsselter Dateienakira_readme.txt- Erpressernachricht
Datei-Hashes
SHA-256: 3b7fc61649badd73986a86d39124b69aa2c7b6ecdb1d448137080579dc4990f2
IOC - Verdächtige Kommandos & Dateien
Console oder PowerShell History:
reg add "HKLM\...\UserList" /v Benutzer /d 0 /f
reg add "HKLM\...\Terminal Server" /v fDenyTSConnections /d 0 /f
powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" **Löscht Volume Shadowcopy
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /v [USER] /d 0 /f 1 **Benutzerkonten verstecken
[C:\ProgramData\]cloudflared.exe tunnel run --token REDACTED **Tunnel für Fernzugang erzeugen
Filename:
w.exe **Dateiname der eingesetzten Ransomware
cloudflared.exe **Fernzugang, oft in versteckten Ordnern, z.B. ProgramData, abgelegt
Hash:
SHA-256:3b7fc61649badd73986a86d39124b69aa2c7b6ecdb1d448137080579dc4990f2 **w.exe
Netzwerkindikatoren
Weitere Akira ransomware IOCs finden Sie im offiziellen Advisory der CISA, FBI, Europol und NCSC-NL:
CISA Advisory AA24-109A - Akira Ransomware Indicators of Compromise
- Externe IP:
202.175.136[.]197 - Hostname:
api.playanext[.]com - AnyDesk User Agent:
AnyDesk/7.1.11 - Cloudflared-Befehl:
cloudflared.exe tunnel run --token - Leaks Seite:
akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion - Chat Seite:
akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
MITRE ATT&CK Mapping
Akira ransomware detection
- Initial Access:
T1078- Valid Accounts (z.B. VPN ohne MFA),T1133- External Remote Services - Execution:
T1059- Command and Scripting Interpreter (PowerShell) - Persistence:
T1547- Boot or Logon Autostart Execution - Privilege Escalation:
T1068- Exploitation for Privilege Escalation - Defense Evasion:
T1562- Impair Defenses (AV-Killer, Shadow Copy löschen) - Credential Access:
T1003- OS Credential Dumping (Mimikatz, LaZagne) - Discovery:
T1087- Account Discovery,T1018- Remote System Discovery - Lateral Movement:
T1021- Remote Services (RDP, SMB) - Collection:
T1119- Automated Collection - Exfiltration:
T1041- Exfiltration Over C2 Channel (z.B. Rclone, FileZilla) - Impact:
T1486- Data Encrypted for Impact,T1490- Inhibit System Recovery
Externe Analysen & Bedrohungsprofile
Ransomnote - Beispiel A
Akira ransomware ransom note
Hi friends,
Whatever who you are and what your title is, if you're reading this it means the internal infrastructure of your company is fully or partially dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover, we have taken a great amount of your corporate data prior to encryption.
ATTENTION! Strictly prohibited:
- Deleting files with .arika extension;
- Replacing or renaming .arika and .akira files;
- Using third party software to recover your systems.
If you violate these rules, we cannot guarantee a successful recovery.
Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue. We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:
1. Dealing with us you will save A LOT due to we are not interested in ruining you financially. We will study in depth your finance, bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance, let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of the deal.
2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately. Our decryptor works properly on any files or systems, so you will be able to check it by requesting a test decryption service from the beginning of our conversation. If you decide to recover on your own, keep in mind that you can permanently lose access to some files or accidentally corrupt them - in this case we won't be able to help.
3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of great value, since NO full audit of your network will show you the vulnerabilities that we've managed to detect and use in order to get into, identify backup solutions and download your data.
4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking, everything that has a value on the darkmarket - to multiple threat actors at once. Then all of this will be published in our blog - akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad[.]onion.
5. We're more than negotiable and will definitely find a way to settle this quickly and reach an agreement which will satisfy both of us.
If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:
1. Install TOR Browser to get access to our chat room - torproject[.]org/download/.
2. Paste this link - https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion/d/[snip] .
3. Use this code - [snip] - to log into our chat.
Keep in mind that the faster you will get in touch, the less damage we cause.
Ransomnote - Beispiel B
Hi friends,
Whatever who you are and what your title is if you're reading this it means the internal infrastructure of your company is fully or partially dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover, we have taken a great amount of your corporate data prior to encryption.
Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue. We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:
1. Dealing with us you will save A LOT due to we are not interested in ruining your financially. We will study in depth your finance, bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance, let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of a deal.
2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately. Our decryptor works properly on any files or systems, so you will be able to check it by requesting a test decryption service from the beginning of our conversation. If you decide to recover on your own, keep in mind that you can permanently lose access to some files or accidently corrupt them - in this case we won't be able to help.
3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of a great value, since NO full audit of your network will show you the vulnerabilities that we've managed to detect and used in order to get into, identify backup solutions and upload your data.
4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking, everything that has a value on the darkmarket - to multiple threat actors at ones. Then all of this will be published in our blog - https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.
5. We're more than negotiable and will definitely find the way to settle this quickly and reach an agreement which will satisfy both of us.
If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:
1. Install TOR Browser to get access to our chat room - https://www.torproject.org/download/.
2. Paste this link - https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion.
3. Use this code - [snip] - to log into our chat.
Keep in mind that the faster you will get in touch, the less damage we cause.
Verdächtige Accounts & Aktivitäten
- Admin-Konto:
itadm - Passwort:
Noface66Nocase! - Workstation:
WIN-JGRMF8L11HO
Wie können Sie sich vor einem Angriff schützen?
Wie erkenne ich einen Angriff durch Akira Ransomware?
Bereits einfache technische und organisatorische Schutzmaßnahmen können die Widerstandsfähigkeit gegenüber Angriffen deutlich erhöhen. Gerne analysieren wir gemeinsam mit Ihnen die aktuelle Risikolage Ihrer Umgebung und sprechen individuelle Empfehlungen aus. Die nachfolgenden Punkte stellen bewährte Basismaßnahmen dar, die in vielen Fällen bereits einen hohen Mehrwert für Ihre IT-Sicherheit bieten.
- Ungewöhnliche Login-Aktivitäten beobachten: Achten Sie auf auffällige Häufungen fehlgeschlagener Anmeldeversuche oder Authentifizierungsanfragen.
- Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA für alle extern zugänglichen Systeme, insbesondere VPN und RDP.
- Geofencing einsetzen: Blockieren Sie Verbindungen aus Ländern oder IP-Bereichen, die keinen Bezug zu Ihrem Geschäftsmodell haben.
- Regelmäßige Updates & Patches: Halten Sie Ihre Software - insbesondere öffentlich erreichbare Dienste - stets auf dem neuesten Stand.
Welche Möglichkeiten der Entschlüsselung gibt es?
Sind die Daten ohne Zahlung wiederherstellbar?
Für ältere Varianten der Akira-Ransomware gibt es durchaus vielversprechende Ansätze, um verschlüsselte Daten wiederherzustellen. So wurden in der Vergangenheit wiederholt Entschlüsselungs-Tools veröffentlicht, die es Opfern ermöglicht haben, ihre Daten ohne Zahlung eines Lösegeldes zurückzubekommen. Daher empfehlen wir grundsätzlich, betroffene Daten zunächst sicher zu archivieren und aufzubewahren. Die Erfahrung zeigt, dass sich mit der Zeit immer wieder neue Entschlüsselungsmöglichkeiten ergeben. Bei aktuellen Versionen moderner Ransomware ist es dagegen in der Regel nicht möglich, die Daten sofort wieder lesbar zu machen.
Möglichkeiten zur Entschlüsselung von Akira-Ransomware
Je nach Version der Akira-Ransomware unterscheiden sich die Chancen auf eine erfolgreiche Entschlüsselung. Im Folgenden finden Sie einen Überblick über bekannte Ansätze - von frühen Varianten bis hin zu aktuellen Entwicklungen. Falls Sie von Akira Ransomware betroffen sind und unsicher sind, ob es eine Entschlüsselungsmöglichkeit für Ihren Fall gibt, zögern Sie bitte nicht, uns für eine kostenlose Erstberatung zu kontaktieren.
1. Frühe Varianten (bis Sommer 2023)
- Kostenloser Avast-Decryptor, veröffentlicht am 29. Juni 2023.
- Benötigt mindestens ein Dateipaar (verschlüsselte Datei + Originalversion).
- Unterstützt Windows nativ, unter Linux via WINE.
- Nützlich für klassische „.akira“-Samples, jedoch nicht für spätere Generationen.
2. Neuere Varianten (ab August 2023)
- Einsatz von Rust-basierten Versionen („Megazord“, „Akira_v2“).
- Dateiendungen wie
.powerranges. - Die Lücken des Avast-Decryptors wurden geschlossen - kein kostenloser Decryptor verfügbar.
3. Temporäre Entschlüsselungen (2024)
- Einzelne Incident-Response-Teams konnten bestimmte Builds entschlüsseln.
- Allerdings keine allgemein zugänglichen Tools veröffentlicht.
4. GPU-basierter Ansatz (2025, für Linux/ESXi)
- Veröffentlicht von Sicherheitsforschern für bestimmte 2024er-Linux/ESXi-Builds.
- Nutzt GPU-Bruteforce gegen Schlüssel, die aus Zeitstempeln abgeleitet werden.
- Nur praktikabel mit passenden Log-Daten und begrenztem Suchraum.
- Kein universelles Werkzeug für alle Akira-Varianten.
5. Aktuelle Lage (2025)
- Verfügbar: Avast-Decryptor (für ältere Windows-Versionen) und GPU-Bruteforce (für spezielle Linux-Varianten).
- Nicht verfügbar: Allgemeine Entschlüsselungstools für aktuelle Windows- und Linux-Builds.
- Empfehlung: Daten sicher archivieren - in der Vergangenheit haben sich neue Möglichkeiten ergeben.