Angriff auf Südwestfalen-IT: Hackergruppe Akira fordert Lösegeld

Wie der WDR berichtet, steckt hinter dem Hackerangriff auf den IT-Dienstleister Südwestfalen-IT (SIT) die Ransomware-Gruppe Akira. Ihr soll es gelungen sein, Daten auf Servern von SIT zu verschlüsseln. Die Forderung nach einem „hohen Lösegeld“ wollen die betroffenen Kommunen indes nicht erfüllen.

Die Akira-Gruppe ist laut einer Analyse von Trend Micro seit März 2023 aktiv. Anfänglich nahm sie vor allem Unternehmen in den USA und Kanada ins Visier. Zudem soll es eine Verbindung zu den Betreibern der Conti-Ransomware geben.

Angeboten wird Akira als Ransomware-as-a-Service. Außerdem sollen die Cybererpresser die bekannte Double-Extortion-Taktik verfolgen, bei der Dateien von Opfern zuerst auf Server der Angreifer kopiert und danach erst verschlüsselt werden. Lösegeld sollen die Opfer dann für die Entschlüsselung zahlen – oder um zu verhindern, dass die Daten veröffentlicht werden.

Im September wurde zudem bekannt, dass die Akira-Gruppe gezielt die VPN-Funktion von bestimmten Cisco-Geräten attackiert, um darüber Netzwerke zu kompromittieren. Anfänglich stand für die Schwachstelle noch kein Patch zur Verfügung. Cisco riet seinen Kunden unter anderem, eine Anmeldung in zwei Schritten einzurichten, um Angriffe auf die anfällige Web-Oberfläche zu verhindern. Welches Einfallstor die Hacker im Fall von SIT nutzen, ist bisher nicht bekannt.

Der IT-Dienstleister meldet indes erste Fortschritte. So soll die erste Phase der forensischen Analyse inzwischen abgeschlossen sein. Darauf basierend will das Unternehmen noch in dieser Woche eine Priorisierung der wiederherzustellenden IT-Systeme für spezifische Fachverfahren der kommunalen Verwaltungen fertigstellen. Danach soll die schrittweise Wiederherstellung der Systeme starten. Zudem ist geplant, dass einige der betroffenen Kommunen ab der kommenden Woche einzelne öffentliche Dienstleistungen wieder anbieten können, die auf Behelfs-Prozessen basieren.