Darum gehts
- Digitale Erpresser: Gut organisierte Industrie bedroht Schweizer Firmen
- Ransomware-Gangs operieren wie Konzerne mit HR-Abteilungen und Managern
- Akira-Gruppe trifft wöchentlich 4-5 Schweizer Firmen, 200 Opfer in 18 Monaten
Montagmorgen, 9 Uhr. Der Kaffee dampft. Ein Angestellter prüft seine To-do-Liste. Alltag im Homeoffice? Von wegen. Der Mann am PC ist ein Gangster. Sein «Projekt»: der Ruin einer Firma.
Willkommen in der Welt der digitalen Erpresser. Das Prinzip ist brutal simpel: Cyberkriminelle kapern Firmen-PCs, verschlüsseln Files, fordern Lösegeld. Der Einzelgänger im Kapuzenpulli? Passé. Die Realität ist deutlich unheimlicher: eine Industrie, strukturiert wie ein Konzern. Sherrod DeGrippo ist seit zwei Jahrzehnten IT-Sicherheitsforscherin. Heute analysiert sie für Microsoft Ransomware-Gangs als Director of Threat Intelligence Strategy.
Buchhalter des Bösen
Hier wird nicht wild gehackt, hier wird kalkuliert. Die Kriminellen stellen sich vor dem Angriff die Frage: Kann das Opfer zahlen? «Sie prüfen dafür auch die Bilanzen der Unternehmen», sagt DeGrippo. Solche Banden haben teilweise sogar HR-Abteilungen, Manager und Lohnabrechnungen. Ein Start-up aus der Unterwelt.
Für die Schweiz heisst der Albtraum «Akira». Diese Gruppe wütet derzeit wie keine andere. Das Fedpol schlägt Alarm: Jede Woche trifft es vier bis fünf Schweizer Firmen. 200 Opfer in 18 Monaten. Der Schaden geht in die Millionen. Seit April 2024 ermittelt die Bundesanwaltschaft, doch die Täter sitzen im Ausland, geschützt durch anonyme Netzwerke. Das Erfolgsrezept von Akira ist ein Franchise-System. Die Drahtzieher liefern den digitalen Dietrich, freie «Mitarbeiter» brechen ein. Wer erfolgreich erpresst, kassiert Provision.
Senkrechtstarter: Akira tauchte erst 2023 auf, gehört aber heute bereits zu den drei aktivsten Ransomware-Gruppen weltweit.
Geschäftsmodell: Sie nutzen Ransomware-as-a-Service (RaaS). Das funktioniert wie ein Franchise-System: Die Entwickler stellen die Software bereit, unabhängige «Partner» führen die Angriffe aus. Deshalb sieht jeder Angriff etwas anders aus.
Einfallstor: Besonders oft nutzen die Hacker geklaute VPN-Zugangsdaten. Auch bekannte Sicherheitslücken in Cisco-VPNs werden aktiv ausgenutzt.
Masche: doppelte Erpressung. Die Hacker verschlüsseln nicht nur die Computer, sondern klauen vorher sensible Daten. Wer nicht zahlt, dessen Geheimnisse landen auf einem Blog im Darknet.
Werkzeugkasten: Für den Datenklau setzen die Angreifer auf gängige Programme wie FileZilla, WinRAR oder WinSCP. Die Verschlüsselung selbst kombiniert zwei Verfahren: den Stromchiffre ChaCha20 mit RSA-Kryptografie.
Ziele: Besonders im Visier stehen die Industrie, das Gesundheitswesen und Bildungseinrichtungen.
Geografischer Fokus: Nordamerika, Europa und Australien – die Schweiz liegt also durchaus im Zielgebiet.
Erkennungszeichen: Sind die Daten einmal verschlüsselt, hängen die Hacker oft die Dateiendung .akira oder kurioserweise .powerrangers an die Dateinamen an.
Rekrutierung: «Partner» werden auf einschlägigen Cybercrime-Foren angeworben, mit Umsatzbeteiligung, wie bei einem seriösen Geschäft.
Hintermänner: Experten vermuten, dass die Kern-Entwickler Verbindungen zur berüchtigten, mittlerweile aufgelösten Conti-Hackergruppe haben.
Senkrechtstarter: Akira tauchte erst 2023 auf, gehört aber heute bereits zu den drei aktivsten Ransomware-Gruppen weltweit.
Geschäftsmodell: Sie nutzen Ransomware-as-a-Service (RaaS). Das funktioniert wie ein Franchise-System: Die Entwickler stellen die Software bereit, unabhängige «Partner» führen die Angriffe aus. Deshalb sieht jeder Angriff etwas anders aus.
Einfallstor: Besonders oft nutzen die Hacker geklaute VPN-Zugangsdaten. Auch bekannte Sicherheitslücken in Cisco-VPNs werden aktiv ausgenutzt.
Masche: doppelte Erpressung. Die Hacker verschlüsseln nicht nur die Computer, sondern klauen vorher sensible Daten. Wer nicht zahlt, dessen Geheimnisse landen auf einem Blog im Darknet.
Werkzeugkasten: Für den Datenklau setzen die Angreifer auf gängige Programme wie FileZilla, WinRAR oder WinSCP. Die Verschlüsselung selbst kombiniert zwei Verfahren: den Stromchiffre ChaCha20 mit RSA-Kryptografie.
Ziele: Besonders im Visier stehen die Industrie, das Gesundheitswesen und Bildungseinrichtungen.
Geografischer Fokus: Nordamerika, Europa und Australien – die Schweiz liegt also durchaus im Zielgebiet.
Erkennungszeichen: Sind die Daten einmal verschlüsselt, hängen die Hacker oft die Dateiendung .akira oder kurioserweise .powerrangers an die Dateinamen an.
Rekrutierung: «Partner» werden auf einschlägigen Cybercrime-Foren angeworben, mit Umsatzbeteiligung, wie bei einem seriösen Geschäft.
Hintermänner: Experten vermuten, dass die Kern-Entwickler Verbindungen zur berüchtigten, mittlerweile aufgelösten Conti-Hackergruppe haben.
«Es ist nur ein Job»
Die Expertin hat interne Chat-Protokolle einer russischen Gang analysiert. Bei den sogenannten Conti-Leaks veröffentlichte ein ukrainischer Insider 2022 Daten dieser Cyber-Gangster. Es gibt starke Hinweise auf eine enge Verbindung zwischen Akira und der ehemaligen Conti-Gruppe. Unheimlich: Die Täter haben oft kein Unrechtsbewusstsein. «Sie sehen sich als Softwareentwickler», erklärt DeGrippo im Interview. Legen sie ein Spital lahm, ist das Kollateralschaden. «Sie sagen: ‹Nicht mein Land, nicht mein Problem›.» Distanz schafft Kälte.
Auch die Rekrutierung für die Entwicklung der Ransomware läuft oft subtil. DeGrippo: «Wir haben Fälle gesehen, in denen Leute Auftragsarbeiten erledigten, ohne zu wissen, woran sie eigentlich arbeiten. Erst später stellte sich heraus: Das war ein Baustein für eine Erpressungssoftware.» Allerdings wissen Kern-Mitglieder der Gangs meist genau, was sie tun.
Alles begann analog. Der Harvard-Biologe Dr. Joseph Popp verschickte nach einer AIDS-Konferenz 20'000 Disketten per Post an Teilnehmer. Wer die Diskette einlegte, machte sein System unbrauchbar. Die Forderung: 189 US-Dollar für eine «Lebenszeit-Lizenz», zahlbar per Scheck an ein Postfach in Panama. Popp wurde verhaftet, aber wegen Unzurechnungsfähigkeit nie verurteilt. Heute gilt dies als die Geburtsstunde der Ransomware.
2012: Reveton-WurmIn den frühen 2000ern nutzten Kriminelle die Angst vor der Polizei. Programme sperrten den Bildschirm mit einem gefälschten Siegel des FBI oder der lokalen Polizei. Die Nachricht: «Sie haben illegale Downloads getätigt. Zahlen Sie sofort eine Strafe.» Überwiesen wurde die «Strafe» meist via Prepaid-Karten von der Tankstelle.
2013: CryptoLockerDer Durchbruch zur Massenware. «Das war der Moment, in dem Ransomware skalierbar, global und profitabel wurde», sagt IT-Sicherheitsforscherin Sherrod DeGrippo. CryptoLocker nutzte das berüchtigte Zeus-Botnet und verlangte erstmals eine Bezahlung in Bitcoin. Das Geschäftsmodell funktionierte: Die Gang machte in wenigen Monaten je nach Schätzung drei bis zehn Millionen Dollar Gewinn.
2017: WannaCry & NotPetyaRansomware wird zur Waffe. WannaCry nutzte eine gestohlene NSA-Sicherheitslücke (EternalBlue), um sich rasend schnell zu verbreiten, und legte weltweit Firmen und britische Spitäler lahm. Im selben Jahr traf der Wiper «NotPetya» die Reederei Maersk so hart, dass das globale Logistiknetzwerk zusammenbrach. Die Rettung klingt wie aus einem Film: Ein einziger Server in Ghana hatte den Angriff überlebt, weil er während eines Stromausfalls vom Netz getrennt war. Die Festplatte musste physisch nach London ausgeflogen werden, um das Netzwerk neu aufzubauen.
2019: MazeEvolution: Ein Strategiewechsel machte Firmen-Backups fast nutzlos. Die Gruppe Maze etablierte die sogenannte Double Extortion: Sie verschlüsselten Daten nicht nur, sondern stahlen sie vorher. Die neue Drohung: «Wenn ihr nicht zahlt, veröffentlichen wir Kundendaten im Darknet.» Selbst wer gute Backups hatte, wurde nun erpressbar.
2021: DarkSideDer Realitätsschock in den USA. Der Angriff auf die Colonial Pipeline führte zu Panikkäufen und Benzinmangel an der US-Ostküste. Die Firma zahlte 4,4 Millionen Dollar in Bitcoin. Dies markierte den Punkt, an dem Ransomware in den USA offiziell als Bedrohung der nationalen Sicherheit eingestuft wurde.
2025: HeuteDie totale Professionalisierung. Gruppen wie LockBit oder Akira funktionieren wie kleine Konzerne mit Personalabteilungen. LockBit führte sogar ein «Bug Bounty Programm» ein: Sie bezahlten Sicherheitsforscher dafür, Fehler in ihrer eigenen Schadsoftware zu finden, um diese zu verbessern.
Alles begann analog. Der Harvard-Biologe Dr. Joseph Popp verschickte nach einer AIDS-Konferenz 20'000 Disketten per Post an Teilnehmer. Wer die Diskette einlegte, machte sein System unbrauchbar. Die Forderung: 189 US-Dollar für eine «Lebenszeit-Lizenz», zahlbar per Scheck an ein Postfach in Panama. Popp wurde verhaftet, aber wegen Unzurechnungsfähigkeit nie verurteilt. Heute gilt dies als die Geburtsstunde der Ransomware.
2012: Reveton-WurmIn den frühen 2000ern nutzten Kriminelle die Angst vor der Polizei. Programme sperrten den Bildschirm mit einem gefälschten Siegel des FBI oder der lokalen Polizei. Die Nachricht: «Sie haben illegale Downloads getätigt. Zahlen Sie sofort eine Strafe.» Überwiesen wurde die «Strafe» meist via Prepaid-Karten von der Tankstelle.
2013: CryptoLockerDer Durchbruch zur Massenware. «Das war der Moment, in dem Ransomware skalierbar, global und profitabel wurde», sagt IT-Sicherheitsforscherin Sherrod DeGrippo. CryptoLocker nutzte das berüchtigte Zeus-Botnet und verlangte erstmals eine Bezahlung in Bitcoin. Das Geschäftsmodell funktionierte: Die Gang machte in wenigen Monaten je nach Schätzung drei bis zehn Millionen Dollar Gewinn.
2017: WannaCry & NotPetyaRansomware wird zur Waffe. WannaCry nutzte eine gestohlene NSA-Sicherheitslücke (EternalBlue), um sich rasend schnell zu verbreiten, und legte weltweit Firmen und britische Spitäler lahm. Im selben Jahr traf der Wiper «NotPetya» die Reederei Maersk so hart, dass das globale Logistiknetzwerk zusammenbrach. Die Rettung klingt wie aus einem Film: Ein einziger Server in Ghana hatte den Angriff überlebt, weil er während eines Stromausfalls vom Netz getrennt war. Die Festplatte musste physisch nach London ausgeflogen werden, um das Netzwerk neu aufzubauen.
2019: MazeEvolution: Ein Strategiewechsel machte Firmen-Backups fast nutzlos. Die Gruppe Maze etablierte die sogenannte Double Extortion: Sie verschlüsselten Daten nicht nur, sondern stahlen sie vorher. Die neue Drohung: «Wenn ihr nicht zahlt, veröffentlichen wir Kundendaten im Darknet.» Selbst wer gute Backups hatte, wurde nun erpressbar.
2021: DarkSideDer Realitätsschock in den USA. Der Angriff auf die Colonial Pipeline führte zu Panikkäufen und Benzinmangel an der US-Ostküste. Die Firma zahlte 4,4 Millionen Dollar in Bitcoin. Dies markierte den Punkt, an dem Ransomware in den USA offiziell als Bedrohung der nationalen Sicherheit eingestuft wurde.
2025: HeuteDie totale Professionalisierung. Gruppen wie LockBit oder Akira funktionieren wie kleine Konzerne mit Personalabteilungen. LockBit führte sogar ein «Bug Bounty Programm» ein: Sie bezahlten Sicherheitsforscher dafür, Fehler in ihrer eigenen Schadsoftware zu finden, um diese zu verbessern.
Die Sennenhunde-Strategie
Und: Die Gefahr wird nicht kleiner. DeGrippo warnt, dass künstliche Intelligenz (KI) die Hacker noch schneller machen wird. «Sie nutzen KI-Tools genau wie wir: um Code zu schreiben oder Phishing-Mails zu texten.»
Doch wie schützt man sich gegen diese bürokratische Armee? DeGrippo lacht: «Kauft euch drei Berner Sennenhunde.» Dann wird sie ernst. Die meisten Firmen sind zu träge bei der IT-Sicherheit. Denn die Gangster sind Opportunisten. Sie gehen durch die offene Hintertür. Veraltete VPN-Zugänge, fehlende Zwei-Faktor-Authentifizierung, alles Einladungen. Für hiesige Firmen heisst das: Verriegelt die digitalen Türen.
Es ist jetzt 9 Uhr. Irgendwo auf der Welt. Der Kaffee dampft. Und ein «Mitarbeiter» braucht noch ein Opfer für seinen Monatsbonus.