Akira Ransomware hat sich 2025 und 2026 zur zweitaktivsten Erpressergruppe der Welt entwickelt, direkt hinter Qilin. Am 13. November 2025 bezifferten FBI und CISA in einer aktualisierten Warnung die Lösegeldeinnahmen der Bande auf mehr als 244 Millionen US-Dollar seit März 2023. Die Gruppe trifft längst nicht mehr nur Konzerne in den USA. Der Mittelstand in der DACH-Region, von Maschinenbauern in Oberösterreich bis zu IT-Dienstleistern in Wien, steht im Fadenkreuz. Diese Analyse zeigt, wie Akira arbeitet, warum eine SonicWall-Schwachstelle zum Türöffner wurde und was österreichische Unternehmen jetzt tun müssen.
Akira Ransomware kurz erklärt: Was 2026 auf dem Spiel steht
Akira Ransomware ist eine Ransomware-as-a-Service-Operation (RaaS), die im März 2023 erstmals dokumentiert wurde. Sicherheitsforscher verbinden die Gruppe technisch und personell mit der zerschlagenen Conti-Bande, deren Quellcode und Methoden nach 2022 in zahlreiche Nachfolgeprojekte einflossen. Akira verschlüsselt Unternehmensdaten und stiehlt sie zugleich, ein Vorgehen, das als doppelte Erpressung bekannt ist. Opfer sollen zahlen, damit ihre Systeme entsperrt und die gestohlenen Daten nicht auf der Leak-Seite der Gruppe veröffentlicht werden.
Was die Gruppe 2026 so gefährlich macht, ist die Kombination aus Tempo, Reichweite und Spezialisierung auf den Mittelstand. Während frühere Marktführer wie LockBit durch Strafverfolgung geschwächt wurden, füllte Akira die Lücke. Laut der Analysefirma CybelAngel rangierte Akira im ersten Quartal 2026 weltweit auf Platz zwei aller Ransomware-Gruppen. Die Sicherheitsfirma Picus Security zählte für das Gesamtjahr 2025 rund 717 von Akira ausgelöste Datenexpositionen, ebenfalls Rang zwei hinter Qilin.
Für österreichische Betriebe ist die Entwicklung deshalb relevant, weil Akira keine Großkonzerne braucht, um profitabel zu sein. Die Gruppe greift gezielt kleine und mittlere Unternehmen an, die oft schwächer abgesichert sind, aber dennoch zahlungsfähig. Genau dieses Profil passt auf weite Teile der heimischen Wirtschaft.
244 Millionen Dollar Lösegeld: Die Zahlen hinter dem Aufstieg
Die zentrale Zahl stammt aus der gemeinsamen Warnung von FBI und CISA: mehr als 244 Millionen US-Dollar an gezahlten Lösegeldern, Stand späten September 2025. Zum Vergleich nannte eine frühere Einschätzung aus dem Jahr 2024 noch rund 42 Millionen Dollar. Innerhalb von rund einem Jahr hat sich die kriminelle Bilanz der Gruppe damit fast versechsfacht. Die Blockchain-Analysefirma TRM Labs zählte zwischen dem 1. Jänner und dem 11. Dezember 2025 etwa 980 Opfer auf der Leak-Seite der Gruppe.
Die folgende Tabelle fasst die wichtigsten belegten Kennzahlen zusammen. Alle Werte stammen aus Berichten von Behörden und Sicherheitsfirmen aus den Jahren 2025 und 2026.
| Kennzahl | Wert | Quelle |
|---|---|---|
| Lösegeld gesamt seit März 2023 | über 244 Mio. USD | FBI/CISA, Nov. 2025 |
| Opfer 1. Jän. bis 11. Dez. 2025 | rund 980 | TRM Labs |
| Opfer in 90 Tagen (Spätjahr 2025) | 149 | Sophos X-Ops |
| Opfer im März 2026 (ein Monat) | 84 | CybelAngel |
| Geforderte Lösegelder je Fall | 200.000 USD bis mehrere Mio. | CybelAngel, FBI |
| Angriffe im Jahr 2024 | über 300 | Bitdefender |
| Weltweiter Rang 2026 | Platz 2 (hinter Qilin) | CybelAngel, Picus |
Die Spanne der Forderungen ist bewusst breit. Akira hinterlässt laut FBI keine fixe Summe in der Erpressernachricht, sondern verhandelt erst nach Kontaktaufnahme. Das erlaubt der Gruppe, die Forderung an Umsatz und Versicherungsstatus des Opfers anzupassen. Für einen mittelständischen Maschinenbauer kann das einen sechsstelligen Betrag bedeuten, für einen größeren Dienstleister mehrere Millionen.
Die FBI-CISA-Warnung vom November 2025 im Detail
Am 13. November 2025 veröffentlichten das FBI und die US-Cyberbehörde CISA gemeinsam mit dem Cyber Crime Center des Verteidigungsministeriums (DC3), dem Gesundheitsministerium HHS und internationalen Partnern eine aktualisierte Ausgabe der #StopRansomware-Warnung zu Akira. Das Dokument listet Indikatoren für eine Kompromittierung, beschreibt die Taktiken der Gruppe und richtet sich ausdrücklich an Betreiber kritischer Infrastruktur.
Brett Leatherman, stellvertretender Direktor der FBI Cyber Division, und Nick Andersen, der bei der CISA für Cybersicherheit zuständige Executive Assistant Director, zeichneten für die behördliche Einschätzung verantwortlich. Die Kernaussage der Behörde: Akira habe seit der Entdeckung im März 2023 mehr als 244 Millionen US-Dollar an Lösegeldern kassiert und betreffe inzwischen Organisationen in Nordamerika, Europa und Australien. Die Warnung nennt das verarbeitende Gewerbe, Bildung, Gesundheitswesen, IT, Finanzdienstleister sowie die Lebensmittel- und Landwirtschaftsbranche als bevorzugte Ziele.
Bemerkenswert ist der internationale Charakter der Warnung. Anders als bei rein US-zentrierten Hinweisen waren europäische Stellen eingebunden, was die globale Ausbreitung der Gruppe unterstreicht. Für österreichische Sicherheitsverantwortliche liefert das Dokument konkrete technische Indikatoren, die sich direkt in die eigene Abwehr übernehmen lassen.
SonicWall-Lücke CVE-2024-40766: Das Einfallstor
Ein entscheidender Treiber des Akira-Booms ist die Schwachstelle CVE-2024-40766 in den SSL-VPN-Funktionen von SonicWall-Firewalls. Über diese Lücke verschaffen sich Angreifer Zugang zu Unternehmensnetzen, in denen die VPN-Komponente am Rand des Netzwerks erreichbar ist. Laut Cybersecurity Dive registrierten Sicherheitsfirmen ab Juli 2025 eine deutliche Welle von Angriffen auf SonicWall-Kunden.
Randgeräte wie VPN-Gateways, Firewalls und Fernzugangslösungen sind ein wiederkehrendes Muster bei Akira. Sie stehen per Definition im Internet, werden aber oft seltener gepatcht als interne Server. Genau hier setzt die Gruppe an. Wer seine SonicWall-Appliance nicht zeitnah aktualisiert und keine Multi-Faktor-Authentifizierung erzwingt, bietet eine offene Tür. Eine konsequente Härtung der Fernzugänge gehört deshalb zu den wichtigsten Sofortmaßnahmen. Wer eine selbst gehostete Alternative prüft, findet in unserer Anleitung zum WireGuard-VPN-Server einen praxisnahen Einstieg.
Die Lehre für die DACH-Region ist eindeutig. Tausende Betriebe in Österreich, Deutschland und der Schweiz setzen SonicWall-Hardware ein. Jede ungepatchte Appliance ist ein potenzieller Erstzugang, den Akira-Partner systematisch suchen. Schwachstellen-Management an der Netzwerkgrenze ist 2026 keine Kür mehr, sondern Pflicht.
In unter vier Stunden zum Totalausfall: Die Angriffskette
Das vielleicht beunruhigendste Detail betrifft die Geschwindigkeit. Forschung der Sicherheitsfirma Halcyon, zitiert von CybelAngel, dokumentiert Fälle, in denen Akira vom ersten Zugriff bis zur vollständigen Verschlüsselung des Netzwerks weniger als vier Stunden benötigte. Für die Verteidigung bleibt damit kaum Reaktionszeit. Ein Alarm um Mitternacht kann bedeuten, dass die Produktion am Morgen stillsteht.
Die typische Kette läuft in mehreren Phasen ab. Zunächst verschaffen sich die Täter über eine VPN-Lücke oder Phishing-Mails mit schädlichen Anhängen Zugang. Danach bewegen sie sich seitlich durch das Netz, greifen Zugangsdaten ab und deaktivieren Sicherheitswerkzeuge. Erst am Ende folgt die Verschlüsselung, häufig zeitgleich auf vielen Systemen. Die Datenexfiltration geschieht meist vor der Verschlüsselung, damit die Erpresser auch bei vorhandenen Backups Druck ausüben können.
Diese Choreografie erklärt, warum reine Backup-Strategien nicht mehr ausreichen. Wer seine Daten zwar wiederherstellen kann, aber die Veröffentlichung sensibler Unterlagen fürchten muss, gerät trotzdem unter Zahlungsdruck. Wirksame Abwehr setzt deshalb früher an, bei der Erkennung verdächtiger Bewegungen im Netz und beim Schutz der Zugangsdaten.
Warum Österreich und die DACH-Region im Visier stehen
Im Mai 2026 berichtete Industrial Cyber, dass Deutschland zum Brennpunkt einer eskalierenden Cyberkampagne in der DACH-Region geworden sei, getrieben von Ransomware und geopolitischen Spannungen. Akira gehört zu den Gruppen, deren Opfergeografie ausdrücklich deutsche Organisationen einschließt. Österreich und die Schweiz teilen die gleichen Risikofaktoren: eine exportstarke Industrie, viele hoch spezialisierte Familienbetriebe und eine dichte Lieferkette.
Gerade der österreichische Maschinen- und Anlagenbau ist ein attraktives Ziel. Diese Unternehmen besitzen wertvolles geistiges Eigentum, sind eng in internationale Lieferketten eingebunden und können sich Produktionsausfälle kaum leisten. Wer eine Woche nicht liefern kann, verliert Aufträge und Vertragsstrafen drohen. Diese Abhängigkeit macht die Zahlungsbereitschaft hoch, genau das Kalkül von Akira.
Hinzu kommt der regulatorische Druck. Mit der Umsetzung der NIS2-Richtlinie steigen die Anforderungen an Risikomanagement und Meldepflichten erheblich. Details dazu liefert unsere Analyse zu NIS2 in Österreich. Wie sich die Bedrohungslage im gesamten deutschsprachigen Raum entwickelt, zeigt unser Überblick zu den Cyberangriffen in der DACH-Region 2026.
Akira gegen Qilin und LockBit: Das Kräfteverhältnis 2026
Der Ransomware-Markt funktioniert wie ein Verdrängungswettbewerb. Fällt ein Anbieter durch Strafverfolgung aus, wandern die Partner zur nächsten Plattform. Genau das geschah nach der Schwächung von LockBit und dem Kollaps von RansomHub. Heute teilen sich vor allem Qilin und Akira die Spitze. Im Februar 2026 zählte Breachsense 680 Ransomware-Opfer über 54 Gruppen, mit Qilin erneut auf Platz eins.
Die folgende Tabelle ordnet die wichtigsten aktiven Gruppen ein. Eine ausführliche Analyse der Nummer eins finden Sie in unserem Beitrag zu Qilin Ransomware.
| Gruppe | Position 2026 | Charakteristik | Code-Basis |
|---|---|---|---|
| Qilin (Agenda) | Platz 1 | Höchste Opferzahl, breite Branchenstreuung | Rust und C |
| Akira | Platz 2 | Fokus auf KMU, Randgeräte, hohes Tempo | C++ und Rust |
| LockBit | geschwächt | Durch Strafverfolgung stark dezimiert | C/C++ |
| RansomHub | kollabiert | 2025 zerfallen, Partner abgewandert | Go und C++ |
Der Unterschied zwischen Qilin und Akira liegt weniger in der Technik als in der Zielwahl. Qilin streut breiter und trifft auch große Einrichtungen wie Gesundheitsdienstleister. Akira hat sich auf den breiten Mittelbau spezialisiert, wo viele Ziele bei vergleichsweise geringem Aufwand profitabel sind. Für die DACH-Wirtschaft mit ihrer starken KMU-Struktur ist genau dieses Profil besonders gefährlich.
Technische Analyse: Rust, ESXi und Nutanix
Akira begann mit einer in C++ geschriebenen Verschlüsselungssoftware und stellte später auf Rust um. Die Rust-basierten Varianten, intern als Megazord und Akira_v2 bezeichnet, gelten als robuster und schwerer zu analysieren. Rust erschwert das Reverse Engineering und erlaubt zugleich eine plattformübergreifende Kompilierung, was die Gruppe gezielt nutzt.
Laut Picus Security unterhält Akira Verschlüsselungswerkzeuge für Windows, Linux, VMware ESXi und Nutanix AHV. Damit zielt die Gruppe direkt auf die Virtualisierungsschicht moderner Rechenzentren. Wer eine ESXi-Umgebung verschlüsselt, legt mit einem Schlag Dutzende virtuelle Maschinen lahm. Diese Hebelwirkung erklärt, warum Hypervisoren für Akira so attraktiv sind.
Welche Werkzeuge Akira einsetzt
Für die Phasen nach dem Erstzugang greift die Gruppe auf bekannte Werkzeuge zurück, darunter legitime Fernwartungssoftware und Tools zum Abgreifen von Zugangsdaten. Sicherheitsmechanismen werden vor der Verschlüsselung gezielt deaktiviert. Das Muster ist typisch für moderne Ransomware: Die eigentliche Verschlüsselung ist nur der letzte Schritt einer längeren, leisen Operation. Wer Authentifizierung absichern will, findet Grundlagen in unserem Überblick zur Passwortsicherheit.
Doppelte Erpressung: Wie Akira verhandelt
Akira nutzt konsequent doppelte Erpressung. Daten werden zuerst gestohlen, dann verschlüsselt. In der Erpressernachricht fehlt zunächst eine konkrete Summe. Stattdessen werden die Opfer aufgefordert, über einen anonymen Kanal Kontakt aufzunehmen. Erst in der Verhandlung nennt die Gruppe ihre Forderung, oft gestaffelt und mit Fristen verbunden, um Druck aufzubauen.
Die entscheidende Frage lautet: Funktioniert Zahlen überhaupt? Behörden raten klar davon ab. Eine Zahlung finanziert das nächste Verbrechen, garantiert keine vollständige Wiederherstellung und schützt nicht zuverlässig vor späterer Veröffentlichung. Hinzu kommt das rechtliche Risiko, falls Zahlungen an sanktionierte Akteure fließen. Trotzdem zahlen Unternehmen, wenn der Produktionsausfall existenzbedrohend wird. Genau auf diese Zwangslage setzt das Geschäftsmodell.
Wer im Ernstfall richtig reagieren will, braucht einen geprobten Notfallplan, getrennte und offline gehaltene Backups sowie klare Zuständigkeiten. Die Entscheidung über eine Zahlung sollte niemals improvisiert in der Krise fallen, sondern vorab mit Rechtsberatung und Versicherung durchdacht sein.
Marktauswirkungen: Was der Akira-Boom für Versicherer und KMU bedeutet
Der Anstieg auf 244 Millionen Dollar an Einnahmen hat Folgen weit über die direkten Opfer hinaus. Cyberversicherer kalkulieren Prämien und Selbstbehalte neu, wenn eine Gruppe mit hoher Frequenz den Mittelstand trifft. Für KMU in Österreich kann das bedeuten, dass eine Cyberpolizze teurer wird oder strengere Auflagen wie verpflichtende Multi-Faktor-Authentifizierung und regelmäßige Patches voraussetzt.
Auch der Markt für Sicherheitsdienstleistungen profitiert. Managed Detection and Response, also die ausgelagerte Überwachung von Netzwerken rund um die Uhr, wird für Betriebe interessant, die kein eigenes Sicherheitsteam stellen können. Genau diese Lücke trifft viele heimische Mittelständler. Der wirtschaftliche Schaden durch Cyberkriminalität summiert sich längst zu Milliardenbeträgen, wie unser Überblick zur Cyberkriminalität in Österreich zeigt.
Für die Volkswirtschaft entsteht ein Dominoeffekt. Fällt ein Zulieferer aus, stockt die gesamte Kette. In einer exportorientierten Industrie wie der österreichischen kann ein einzelner erfolgreicher Akira-Angriff über Wochen Aufträge gefährden und das Vertrauen internationaler Partner beschädigen.
Historischer Kontext: Vom Conti-Erbe zur Nummer zwei
Um Akira zu verstehen, hilft ein Blick zurück. Nach dem Zerfall der Conti-Bande 2022 zersplitterte die Ransomware-Szene in viele kleinere Projekte. Akira tauchte im März 2023 auf und wurde rasch mit dem Conti-Umfeld in Verbindung gebracht, sowohl technisch als auch über Geldflüsse in Kryptowährungen. Ein früher Bericht zählte bereits im Juli 2023 mindestens 63 Opfer.
2024 folgte die Skalierung mit über 300 dokumentierten Angriffen laut Bitdefender. 2025 wurde dann zum Durchbruchsjahr. Mit dem Niedergang von LockBit und RansomHub wanderten erfahrene Partner ab und suchten sich neue Plattformen. Akira bot ihnen funktionierende Infrastruktur, verlässliche Auszahlungen und eine bewährte Methodik. Das Ergebnis ist die heutige Spitzenposition.
Dieses Muster wiederholt sich seit Jahren. Strafverfolgung zerschlägt eine Marke, doch die Menschen und das Know-how dahinter verschwinden nicht. Sie formieren sich unter neuem Namen. Akira ist das jüngste Beispiel für diese Resilienz des kriminellen Ökosystems.
Stimmen aus der Sicherheitsbranche
Die behördliche Einschätzung ist eindeutig. In der gemeinsamen Warnung erklären FBI und CISA, Akira habe seit März 2023 mehr als 244 Millionen US-Dollar an Lösegeldern erpresst und bedrohe weiterhin kritische Infrastruktur in mehreren Sektoren. Verantwortlich für die Aussage zeichnen Brett Leatherman von der FBI Cyber Division und Nick Andersen von der CISA.
Die Analyse von Sophos X-Ops, zitiert von Cybersecurity Dive, dokumentiert allein 149 Akira-Opfer innerhalb von 90 Tagen im Spätjahr 2025, ein Beleg für die hohe Schlagzahl der Gruppe. TRM Labs kommt für das Gesamtjahr 2025 auf rund 980 Opfereinträge. Die Forscher von Halcyon betonen das Tempo: vom Erstzugang bis zur Verschlüsselung vergehen in dokumentierten Fällen weniger als vier Stunden.
CybelAngel ordnet Akira im ersten Quartal 2026 als zweitaktivste Gruppe der Welt ein, mit insgesamt über 1.400 beanspruchten Opfern seit 2023. Die Sicherheitsforscher von Picus Security bestätigen diese Spitzenposition mit 717 dokumentierten Datenexpositionen für 2025. Der Tenor aller Quellen ist gleich: Akira ist kein vorübergehendes Phänomen, sondern ein etablierter Akteur mit professioneller Struktur.
Schutzmaßnahmen: Was Unternehmen jetzt tun müssen
Die gute Nachricht: Akira nutzt überwiegend bekannte Schwächen. Wer die Grundlagen beherrscht, senkt sein Risiko erheblich. Die wichtigsten Hebel liegen an der Netzwerkgrenze, bei den Zugangsdaten und bei der Erkennung.
- Randgeräte patchen: SonicWall-, Firewall- und VPN-Software sofort aktualisieren, insbesondere gegen CVE-2024-40766. Veröffentlichte Sicherheitsupdates ohne Verzögerung einspielen.
- Multi-Faktor-Authentifizierung erzwingen: Für alle Fernzugänge, VPNs und Verwaltungskonten. Reine Passwörter reichen nicht mehr aus.
- Offline-Backups führen: Mindestens eine Kopie getrennt vom Netzwerk, regelmäßig auf Wiederherstellbarkeit getestet.
- Netzwerk segmentieren: Die seitliche Bewegung der Angreifer durch klare Zonen und eingeschränkte Rechte bremsen.
- Erkennung rund um die Uhr: Endpoint Detection and Response oder ein Managed-Service, der verdächtige Aktivitäten in Echtzeit meldet.
- Notfallplan proben: Rollen, Kontakte und Abläufe vorab festlegen und in Übungen durchspielen.
Ein praktischer Baustein gegen automatisierte Angriffe auf erreichbare Dienste ist die Begrenzung von Anmeldeversuchen. Wie das funktioniert, zeigt unsere Anleitung zu Fail2ban. Den größeren Rahmen der digitalen Selbstverteidigung erklärt unser Leitfaden zur Online-Sicherheit.
Fünf Prognosen für Akira und Ransomware 2026
Auf Basis der aktuellen Datenlage lassen sich für den weiteren Jahresverlauf 2026 fünf Entwicklungen ableiten.
- Akira bleibt in den Top zwei. Solange Partner verlässliche Auszahlungen erhalten, gibt es keinen Grund zum Wechsel. Eine Verdrängung droht nur durch Strafverfolgung.
- Randgeräte bleiben das Haupteinfallstor. VPNs, Firewalls und Fernzugänge bleiben im Mittelpunkt. Neue Schwachstellen in solchen Produkten werden binnen Tagen ausgenutzt.
- Der DACH-Mittelstand gerät stärker ins Visier. Die Kombination aus Zahlungsfähigkeit und teils lückenhafter Absicherung macht heimische KMU zu lohnenden Zielen.
- Cyberversicherungen werden teurer und strenger. Versicherer koppeln Deckung zunehmend an nachweisbare Mindeststandards wie MFA und Patch-Disziplin.
- Regulatorischer Druck wächst. Mit der NIS2-Umsetzung steigen Melde- und Sorgfaltspflichten, was Sicherheit von der Kür zur dokumentierten Pflicht macht.
Häufige Fragen zu Akira Ransomware
Was ist Akira Ransomware?
Akira ist eine seit März 2023 aktive Ransomware-as-a-Service-Gruppe, die Unternehmensdaten verschlüsselt und stiehlt. Laut FBI und CISA hat sie bis Ende 2025 mehr als 244 Millionen US-Dollar an Lösegeldern erpresst und gilt 2026 als zweitaktivste Erpressergruppe der Welt.
Wie gelangt Akira in Unternehmensnetzwerke?
Häufigste Einfallstore sind verwundbare Randgeräte, allen voran SonicWall-VPNs über die Schwachstelle CVE-2024-40766, sowie Phishing-Mails mit schädlichen Anhängen. Ab Juli 2025 registrierten Sicherheitsfirmen eine deutliche Angriffswelle gegen SonicWall-Kunden.
Sind österreichische Unternehmen von Akira betroffen?
Akira greift Organisationen in ganz Europa an, und die DACH-Region rückt 2025 und 2026 stärker in den Fokus. Die exportstarke, mittelständisch geprägte österreichische Wirtschaft passt genau in das bevorzugte Beuteschema der Gruppe.
Wie schnell verschlüsselt Akira ein Netzwerk?
Forschung von Halcyon dokumentiert Fälle, in denen vom ersten Zugriff bis zur vollständigen Verschlüsselung weniger als vier Stunden vergingen. Diese Geschwindigkeit lässt der Verteidigung kaum Reaktionszeit und macht frühe Erkennung entscheidend.
Soll man das Lösegeld zahlen?
Behörden raten klar von Zahlungen ab. Eine Zahlung garantiert keine vollständige Wiederherstellung, finanziert weitere Verbrechen und birgt rechtliche Risiken. Besser sind geprobte Notfallpläne, offline gehaltene Backups und vorab geklärte Zuständigkeiten.
Wie unterscheidet sich Akira von Qilin?
Qilin führt die Rangliste mit der höchsten Opferzahl und breiter Branchenstreuung an. Akira folgt auf Platz zwei und hat sich auf kleine und mittlere Unternehmen sowie verwundbare Randgeräte spezialisiert, mit besonders hohem Tempo bei der Verschlüsselung.
Welche Systeme greift Akira an?
Laut Picus Security verfügt Akira über Verschlüsselungswerkzeuge für Windows, Linux, VMware ESXi und Nutanix AHV. Besonders die Virtualisierungsschicht ist ein bevorzugtes Ziel, weil sich damit viele virtuelle Maschinen gleichzeitig lahmlegen lassen.
Was ist die wichtigste Sofortmaßnahme?
Das zeitnahe Patchen von Randgeräten und das Erzwingen von Multi-Faktor-Authentifizierung für alle Fernzugänge. Beide Maßnahmen schließen die häufigsten Einfallstore von Akira und reduzieren das Risiko erheblich.
Fazit: Eine Bedrohung, die man kennen muss
Akira Ransomware hat sich in drei Jahren von einem Conti-Ableger zur Nummer zwei der globalen Ransomware-Szene entwickelt. Mehr als 244 Millionen Dollar erpresstes Lösegeld, rund 980 Opfer allein 2025 und eine Spezialisierung auf den Mittelstand machen die Gruppe zu einer konkreten Gefahr für österreichische Unternehmen. Die gute Nachricht bleibt: Die Angriffe nutzen bekannte Schwächen. Wer Randgeräte patcht, Multi-Faktor-Authentifizierung erzwingt, Backups offline hält und sein Netzwerk überwacht, nimmt Akira die wichtigsten Werkzeuge aus der Hand.
Verwandte Beiträge
- Qilin Ransomware: 131 Opfer, Die Linke gehackt
- Cyberangriffe DACH 2026: 289 Mrd. Euro Schaden
- Cyberkriminalität Österreich: 62.328 Fälle
- NIS2 Österreich: 5.000 Betroffene
- WireGuard einrichten: VPN-Server in 12 Schritten
- Fail2ban einrichten: SSH-Schutz in 12 Schritten
- Online-Sicherheit verständlich erklärt
Quellen und weiterführende Links
- FBI/CISA #StopRansomware: Akira Ransomware Advisory (13.11.2025)
- Cybersecurity Dive: Akira engaged in attacks against critical sectors
- TRM Labs: Akira Ransomware Group Threat Profile
- Picus Security: Akira Ransomware 2025 Analyse
- Industrial Cyber: DACH-Cyberkampagne 2026
- CERT.at: Nationales Computer Emergency Response Team Österreich
