✉️info@mh-service.de | 📞+49 (7275) 9692381
Kontakt DE EN
24/7 Incident-Response-Hotline

Akira Ransomware Incident Response & Technische Analyse (2025)

Wenn Ihre Organisation von Akira Ransomware betroffen ist, zählt jede Minute. Unser erfahrenes DFIR-Team unterstützt Sie bei Eindämmung, Forensik, Entschlüsselungsoptionen und sicherem Wiederaufbau – basierend auf über 10 Jahren praktischer Ransomware-Erfahrung.

24/7 Hotline anrufen Incident-Response-Support anfragen
10+ Jahre Ransomware-Response EU-basiertes DFIR-Team Akira, Qilin, LockBit, BlackCat & mehr
Erstmalig beobachtet
März 2023
Modell
Ransomware-as-a-Service (RaaS)
Betroffene
Schätzung 250–350+ weltweit
Lösegeldbereich
ca. 200.000 – 4 Mio. USD

Was wir in den ersten 72 Stunden eines Akira-Vorfalls tun

Die ersten Tage eines Akira-Angriffs sind entscheidend. Unser strukturiertes Vorgehen – orientiert an realen Akira-Fällen – hilft, den Schaden zu begrenzen, Beweise zu sichern und einen sicheren Wiederanlauf sowie mögliche Entschlüsselungsoptionen vorzubereiten.

Stunden 0–4

Schnelle Triage & Eindämmung

Wir erfassen Umfang und Auswirkungen, identifizieren Akira-Artefakte und begleiten Sie beim sicheren Isolieren betroffener Systeme (On-Prem und Cloud) – ohne vorschnelles Löschen oder Neuaufsetzen. Ziel: weitere Verschlüsselung und Exfiltration stoppen und Forensik ermöglichen.

Stunden 4–24

Forensische Sicherung & Angreifer-Analyse

Sicherung von System-Images, Logs und flüchtigen Daten auf zentralen Systemen. Wir analysieren Werkzeugkette und Vorgehen von Akira (z. B. AnyDesk, cloudflared), Persistenzmechanismen, Exfiltrationskanäle und genutzte privilegierte Accounts.

Tag 2–3

Wiederanlaufplan, Entschlüsselung & Entscheidungshilfe

Wir erarbeiten einen gestuften Wiederanlaufplan inklusive Optionen mit und ohne Lösegeldzahlung (z. B. Backups, Decryptor für ältere Varianten, gezielte Wiederherstellung) und liefern Input für Geschäftsführung, Rechtsabteilung und Kommunikation. Bei Bedarf begleiten wir Meldeprozesse und Kontakt zu Behörden.

Bereits in Verhandlung mit Akira?

Viele Betroffene stehen bereits mit den Akira-Operatoren in Kontakt, wenn sie uns anrufen. Wir helfen Ihnen:

  • Behauptungen der Angreifer zu Datendiebstahl und Zugriff zu prüfen
  • Technische Auswirkungen von Zahlung vs. Nichtzahlung zu verstehen
  • Verhandlungen mit Recht, Versicherung und Management abzustimmen

Auch wenn der Vorfall „schon läuft“, kann externe Unterstützung Ausfallzeiten und Folgeschäden deutlich reduzieren – insbesondere bei Datenlecks, Meldepflichten und dem Aufbau künftiger Resilienz.

Über die Akutphase hinaus unterstützen wir Sie dabei, Ihre Umgebung nachhaltig robuster gegen Ransomware-Angriffe zu machen – von AD-Hardening und Fernzugriff über Backup-Strategie bis hin zu Monitoring.

Screenshot der Akira Ransomware Leakseite im Darknet
Beispiel einer Akira-Leakseite im Darknet (Kundendaten anonymisiert).

Akira Ransomware – technischer Überblick

Im Folgenden ein komprimiertes technisches Profil von Akira Ransomware. Die genannten Indicators of Compromise (IOCs) sind exemplarisch – verlassen Sie sich nicht ausschließlich auf statische Indikatoren.

Allgemeine Merkmale

  • Erkannt seit: März 2023
  • Modell: Ransomware-as-a-Service (RaaS)
  • Vermutete Verbindungen: ehemalige Conti-Mitglieder (laut Threat Intelligence)
  • Typische Ziele: KMU, Bildung, Fertigung, kritische Infrastruktur
  • Lösegeldforderungen: ca. 200.000 – 4 Mio. USD

Akira hat sich über die Zeit weiterentwickelt – mit Windows- und Linux/ESXi-Varianten sowie häufigen Änderungen bei Tools, Infrastruktur und Verhandlungsstil.

# Beispielhafte Kommandos, Dateien & Artefakte aus Akira-Kampagnen Konsole / PowerShell-Historie (Auszug): reg add "HKLM\...\UserList" /v <user> /d 0 /f reg add "HKLM\...\Terminal Server" /v fDenyTSConnections /d 0 /f powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" ^ /t REG_DWORD /v [USER] /d 0 /f C:\ProgramData\cloudflared.exe tunnel run --token <REDACTED> Dateinamen: w.exe # Akira-Payload, in mehreren Vorfällen beobachtet cloudflared.exe # Fernzugangstunnel, häufig in ProgramData oder versteckten Ordnern Beispiel-Hash (SHA-256): 3b7fc61649badd73986a86d39124b69aa2c7b6ecdb1d448137080579dc4990f2 (w.exe)

Weitere Akira-IOCs sind im gemeinsamen Advisory von CISA/FBI/Europol/NCSC-NL (AA24-109A) publiziert. Wir kombinieren diese Informationen mit Vorfallsindikatoren aus eigenen Ermittlungen.

Dateiendungen, Ransomnote & Netzwerkindikatoren

Dateiendungen & Ransomnote

  • .akira – Erweiterung verschlüsselter Dateien (klassische Windows-Builds)
  • akira_readme.txt – Erpressernachricht in betroffenen Verzeichnissen

Netzwerkindikatoren (Beispiele)

Weitere und aktuelle IOCs finden Sie im CISA Advisory AA24-109A.

  • Externe IP: 202.175.136[.]197
  • Hostname: api.playanext[.]com
  • AnyDesk User Agent: AnyDesk/7.1.11
  • Cloudflared-Befehl: cloudflared.exe tunnel run --token
  • Leaks-Seite (Tor): akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
  • Chat-Seite (Tor): akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion

MITRE ATT&CK Mapping (Auswahl)

  • Initial Access: T1078 Valid Accounts (z. B. VPN ohne MFA), T1133 External Remote Services
  • Execution: T1059 Command and Scripting Interpreter (PowerShell)
  • Persistence: T1547 Boot or Logon Autostart Execution
  • Privilege Escalation: T1068 Exploitation for Privilege Escalation
  • Defense Evasion: T1562 Impair Defenses (AV-Killer, Shadow Copies löschen)
  • Credential Access: T1003 OS Credential Dumping (z. B. Mimikatz, LaZagne)
  • Discovery: T1087 Account Discovery, T1018 Remote System Discovery
  • Lateral Movement: T1021 Remote Services (RDP, SMB)
  • Collection: T1119 Automated Collection
  • Exfiltration: T1041 Exfiltration Over C2 Channel (z. B. Rclone, FileZilla)
  • Impact: T1486 Data Encrypted for Impact, T1490 Inhibit System Recovery

Ransomnote-Beispiele (zu Analysezwecken)

Die folgenden Beispiele dienen ausschließlich forensischen und Schulungszwecken. Nutzen Sie keine enthaltenen Links oder Codes produktiv.

Akira Ransomware Ransomnote – Beispiel A

Hi friends,
Whatever who you are and what your title is, if you're reading this it means the internal infrastructure of your company is fully or partially dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover, we have taken a great amount of your corporate data prior to encryption.

ATTENTION! Strictly prohibited:

- Deleting files with .arika extension;
- Replacing or renaming .arika and .akira files;
- Using third party software to recover your systems.

If you violate these rules, we cannot guarantee a successful recovery.

Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue. We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:

1. Dealing with us you will save A LOT due to we are not interested in ruining you financially. We will study in depth your finance, bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance, let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of the deal.

2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately. Our decryptor works properly on any files or systems, so you will be able to check it by requesting a test decryption service from the beginning of our conversation. If you decide to recover on your own, keep in mind that you can permanently lose access to some files or accidentally corrupt them - in this case we won't be able to help.

3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of great value, since NO full audit of your network will show you the vulnerabilities that we've managed to detect and use in order to get into, identify backup solutions and download your data.

4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking, everything that has a value on the darkmarket - to multiple threat actors at once. Then all of this will be published in our blog - akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad[.]onion.

5. We're more than negotiable and will definitely find a way to settle this quickly and reach an agreement which will satisfy both of us.

If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:

1. Install TOR Browser to get access to our chat room - torproject[.]org/download/.
2. Paste this link - https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion/d/[snip] .
3. Use this code - [snip] - to log into our chat.

Keep in mind that the faster you will get in touch, the less damage we cause.

Akira Ransomware Ransomnote – Beispiel B

Hi friends,

Whatever who you are and what your title is if you're reading this it means the internal infrastructure of your company is fully or partially dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover, we have taken a great amount of your corporate data prior to encryption.

Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue. We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:

1. Dealing with us you will save A LOT due to we are not interested in ruining your financially. We will study in depth your finance, bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance, let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of a deal.

2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately. Our decryptor works properly on any files or systems, so you will be able to check it by requesting a test decryption service from the beginning of our conversation. If you decide to recover on your own, keep in mind that you can permanently lose access to some files or accidently corrupt them - in this case we won't be able to help.

3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of a great value, since NO full audit of your network will show you the vulnerabilities that we've managed to detect and used in order to get into, identify backup solutions and upload your data.

4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking, everything that has a value on the darkmarket - to multiple threat actors at ones. Then all of this will be published in our blog - https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.

5. We're more than negotiable and will definitely find the way to settle this quickly and reach an agreement which will satisfy both of us.

If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:

1. Install TOR Browser to get access to our chat room - https://www.torproject.org/download/.
2. Paste this link - https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion.
3. Use this code - [snip] - to log into our chat.

Keep in mind that the faster you will get in touch, the less damage we cause.

Verdächtige Accounts & Aktivitäten (Beispiel)

Die folgenden Artefakte sind beispielhaft und treten nicht in jedem Akira-Fall auf. Ähnliche Muster sollten jedoch immer genauer untersucht werden:

  • Admin-Konto: itadm
  • Passwort-Beispiel: Noface66Nocase!
  • Workstation: WIN-JGRMF8L11HO

Wie Sie Angriffe durch Akira erkennen und sich schützen

Wichtige Erkennungssignale

Bereits einfache technische und organisatorische Maßnahmen erhöhen die Resilienz gegenüber Akira und ähnlichen Gruppen deutlich. Folgende Signale sollten besonders beachtet werden:

  • Ungewöhnliche Login-Aktivitäten: Häufung fehlgeschlagener Logins, Zugriffe aus ungewohnten Regionen, Anmeldungen zu ungewöhnlichen Zeiten.
  • Remote-Access-Tools: Unerwartete Nutzung von AnyDesk, cloudflared oder RDP – insbesondere auf Servern.
  • Shadow-Copy-Löschung: PowerShell- oder WMI-Befehle, die Volume Shadow Copies oder Backups entfernen.
  • Neue Admin-Konten: Anlegen privilegierter Accounts oder Manipulation „versteckter“ Benutzerlisten.

Empfohlene Hardening-Maßnahmen

  • Multi-Faktor-Authentifizierung (MFA): MFA für alle extern erreichbaren Zugänge (VPN, RDP, Remote-Management) erzwingen.
  • Geofencing: Verbindungen aus Ländern/IP-Bereichen blockieren, die keinen Bezug zum Geschäftsmodell haben.
  • Patching: Öffentlich erreichbare Dienste, VPN-Gateways und Remote-Tools konsequent aktuell halten.
  • Least Privilege: Berechtigungen von Service-Accounts und Admins auf das notwendige Minimum reduzieren.
  • Segmentierung & Backups: Kritische Systeme segmentieren, Offline/Immutable-Backups betreiben und Wiederherstellung regelmäßig testen.

Entschlüsselungsoptionen & Datenwiederherstellung bei Akira

Sind verschlüsselte Daten ohne Zahlung wiederherstellbar?

Für frühere Akira-Varianten gab es vielversprechende Ansätze zur Wiederherstellung verschlüsselter Daten – unter anderem öffentlich verfügbare Decryptor-Tools. Für aktuelle Versionen moderner Ransomware ist eine Entschlüsselung ohne Schlüssel der Angreifer jedoch häufig nicht kurzfristig möglich.

Grundsätzlich empfehlen wir, betroffene Daten sicher zu archivieren: die Erfahrung zeigt, dass sich im Zeitverlauf immer wieder neue Entschlüsselungsmöglichkeiten ergeben.

Überblick über bekannte Entschlüsselungsansätze

1. Frühe Varianten (bis Sommer 2023)

  • Kostenloser Avast-Decryptor, veröffentlicht am 29. Juni 2023.
  • Benötigt mindestens ein Dateipaar (verschlüsselte Datei + Originalversion).
  • Unterstützt Windows nativ, unter Linux via WINE.
  • Nützlich für klassische „.akira“-Samples, nicht für spätere Generationen.

2. Neuere Varianten (ab August 2023)

  • Einsatz von Rust-basierten Builds (z. B. „Megazord“, „Akira_v2“).
  • Neue Dateiendungen wie .powerranges.
  • Die Schwachstellen, die der Avast-Decryptor ausnutzte, wurden geschlossen – kein frei verfügbarer Decryptor.

3. Temporäre Entschlüsselungen (2024)

  • Einzelne Incident-Response-Teams konnten bestimmte Builds erfolgreich entschlüsseln.
  • Es wurden jedoch keine allgemein nutzbaren Tools veröffentlicht.

4. GPU-basierter Ansatz (2025, Linux/ESXi)

  • Forschungsbasierter GPU-Bruteforce für bestimmte Linux/ESXi-Builds aus 2024.
  • Nutzt Schlüssel, die aus Zeitstempel-basierten Werten abgeleitet werden.
  • Nur praktikabel mit passenden Logs und begrenztem Suchraum.
  • Kein universelles Werkzeug für alle Akira-Varianten.

5. Aktuelle Lage (2025)

  • Verfügbar: Avast-Decryptor (für ältere Windows-Varianten) und spezielle GPU-Ansätze für einzelne Linux-Builds.
  • Nicht verfügbar: Generische Decryptor-Tools für aktuelle Windows- und Linux-Varianten.
  • Empfehlung: Daten sicher archivieren; Wiederherstellungsoptionen im Einzelfall prüfen.
Wichtig: Wenn Sie einen Akira-Vorfall vermuten, vermeiden Sie das Löschen verschlüsselter Daten oder das Formatieren von Systemen, bevor ein Spezialist Entschlüsselungsoptionen und Backup-Integrität geprüft hat. In manchen Fällen können sorgfältige Beweissicherung und die Erfassung von Schlüsseln (z. B. aus dem RAM) entscheidend sein.

Externe Analysen & weitere Ransomware-Gruppen

Häufige Fragen zu Akira Ransomware

Ein Akira-Vorfall wirft rechtliche, technische und geschäftliche Fragen auf. Nachfolgend einige typische Fragen aus den ersten Gesprächen.

„Müssen wir bezahlen, um wieder arbeitsfähig zu sein?“

Nicht zwangsläufig. In manchen Fällen ist eine Wiederherstellung aus Backups oder mit Decryptor-Tools möglich, ohne zu zahlen. In anderen Fällen müssen geschäftliche Auswirkungen, Datendiebstahl und rechtliche Vorgaben sorgfältig abgewogen werden. Wir unterstützen Sie bei der Bewertung der Optionen.

„Wir haben bereits gezahlt – können Sie trotzdem helfen?“

Ja. Wir unterstützen auch Organisationen, die bereits gezahlt oder Verhandlungen begonnen haben – z. B. bei der Validierung von Decryptor-Tools, beim sicheren Wiederaufbau sowie beim Umgang mit Datenleaks, Meldepflichten und Stakeholder-Kommunikation.

„Wie schnell können Sie starten?“

Bei aktiven Vorfällen versuchen wir, kurzfristig einen ersten Remote-Triage-Call zu ermöglichen, sobald Sie unsere Hotline oder E-Mail erreichen. Eine Vor-Ort-Präsenz kann je nach Standort und Dringlichkeit organisiert werden.

„Ist unser Anruf vertraulich?“

Ja. Alle Gespräche und Artefakte werden vertraulich behandelt. Auf Wunsch arbeiten wir unter NDA und – über Ihre Rechtsberatung – auch unter Legal Privilege.

Wie wir Sie in einem Akira-Fall unterstützen

Als spezialisiertes DFIR-Team unterstützen wir Organisationen dabei, Akira-Vorfälle strukturiert und risikobasiert zu bearbeiten:

  • Remote Discovery & Pre-Assessment: Identifikation betroffener Systeme (On-Prem/Cloud), Akira-Artefakte und initialer Angriffswege.
  • Forensik & Timeline-Rekonstruktion: Sammlung und Auswertung von Logs, Images und Speicherabbildern zur lückenlosen Aufklärung.
  • Patching & Hardening: Schließen von Lücken (VPN, RDP, Remote-Tools), Verbesserung von Monitoring und segmentiertem Wiederanlauf.
  • Entschlüsselung & Recovery-Strategie: Bewertung von Decryptor-Optionen, Backups und gestuften Wiederherstellungskonzepten.

Nächste Schritte für betroffene Organisationen

  1. Kurzfristiger Scoping-Call: Welche Systeme sind betroffen, was ist aktuell ausgefallen, welche Daten sind gefährdet?
  2. Bereitstellung grundlegender Infos (Infrastruktur, Backups, Remote-Zugänge, Logging-/Monitoring-Status).
  3. Gemeinsame Priorisierung und ein 24–72-Stunden-Plan für Eindämmung, Forensik und Wiederanlauf.

Auf Wunsch stellen wir Checklisten und Vorlagen für interne Kommunikation, regulatorische Meldungen und Berichte an Geschäftsführung oder Aufsichtsorgane im Kontext Akira/Ransomware bereit.