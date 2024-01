In Schweden stehen zahlreiche Behörden und Unternehmen still. Angreifer, die in Russland vermutet werden, haben mit ihrer Ransomware Akira erfolgreich einen großen nationalen Cloud-Hosting-Anbieter angegriffen.

Die IT-Systeme mehrerer schwedischer Behörden und Unternehmen sind von einem Cyber-Angriff betroffen. In der Folge seien etwa das zentralisierte Personalsystem der schwedischen Regierung sowie zahlreiche Online-Shops, darunter die größte Kino-Kette des Landes, beeinträchtigt, erklärt der schwedisch-finnische Cloud-Hosting-Dienstleister Tietoevry am Montagabend. Demnach werden russische Hacker hinter dem Angriff vermutet.

Nach Angaben des Unternehmens wurde eines seiner Datenzentren in der Nacht von Freitag auf Samstag angegriffen. Anschließend waren die Online-Shops zahlreicher schwedischer Unternehmen, die Kunden von Tietoevry sind, nicht mehr erreichbar. Die Störung des behördlichen Personalsystems führte unter anderem dazu, dass Beamte ihre Überstunden nicht mehr eintragen oder Urlaub beantragen konnten.

„In Anbetracht der Art des Vorfalls und der Anzahl der kundenspezifischen Systeme, die wiederhergestellt werden müssen, kann sich der Wiederherstellungsprozess über mehrere Tage oder sogar Wochen erstrecken“, erklärte Tietoevry. 120 Regierungsbehörden und mehr als 60.000 Angestellte sind demnach betroffen. Erste Analysen zeigen, dass die Ransomware Akira zum Einsatz kam. Die Erpressersoftware, die jegliche Daten eines Rechners verschlüsselt und ihre Besitzer aussperrt, ist noch relativ neu am Markt. Erstmals dokumentiert wurde sie im März 2023 und zählt zu einer der am schnellsten wachsenden Ransomware-Familien.

Wie beim Coronavirus, bei dem es auch zahlreiche Mutationen gibt, handelt es sich offenbar bei jenem in Schweden bei dem Hauptstamm, der sich am schnellsten verbreitet. Spannend dabei ist, dass Akira nicht nur Namensgeber für die Ransomware ist. Auch die Hackergruppe nennt sich so und gilt nach Analysen der Security-Firma Logpoint als die aktivste kriminelle Vereinigung aktuell. Besonders perfide ist, dass sie die Taktik der zweifachen Erpressung nutzen. Diese sogenannte Double Extortion funktioniert folgendermaßen: Um die Ransomware-Attacke überhaupt zu starten, müssen sich die Angreifer Zugriff auf die Systeme verschaffen. Bevor sie diese sperren, kopieren sie sensible Daten. Mit diesen Daten werden die Opfer zusätzlich dazu gedrängt, die Lösegeldsumme zu bezahlen, da ansonsten gedroht wird, diese privaten Informationen zu veröffentlichen.

Akira verlangt hohe Lösegeldsummen

Die Lösegeldforderungen von Akira haben es oftmals in sich, denn nach Angaben der IT-Sicherheitsfirma Malwarebytes fordert Akira oft Lösegelder zwischen 200.000 und mehreren Millionen US-Dollar.

„Cybersicherheit muss eine Priorität für die gesamte Gesellschaft sein, sowohl für den öffentlichen als auch für den privaten Sektor“, erklärte Zivilschutzminister Carl-Oskar Bohlin im Kurzbotschaftendienst X. Es werde nun daran gearbeitet, die Probleme zu beheben. Anschließend werde es eine ausführliche Untersuchung des Vorfalls geben.

Die schwedische Agentur für zivile Notfälle (MSB) forderte, der Angriff müsse als Weckruf verstanden werden. „Schweden hat sich sehr schnell digitalisiert, aber im allgemeinen haben wir nicht genug Zeit und Ressourcen in die Cybersicherheit investiert“, sagte Margareta Palmqvist von der MSB der schwedischen Nachrichtenagentur TT. (stein)