Akira-Ransomware bedroht jetzt virtuelle Maschinen

Die Cybersicherheitslage spitzt sich dramatisch zu: US-Behörden warnen vor neuen Fähigkeiten der gefährlichen Akira-Ransomware, die nun auch Nutanix-Virtualisierungsplattformen angreift. Zeitgleich gelang Europol mit der „Operation Endgame” ein Schlag gegen mehrere internationale Malware-Netzwerke. Doch die Angreifer rüsten weiter auf.

Eine gemeinsame Sicherheitswarnung der US-Cybersecurity and Infrastructure Security Agency (CISA), des FBI und internationaler Partner vom 13. November 2025 macht deutlich: Die Akira-Gruppe verfeinert ihre Angriffsmethoden kontinuierlich. Nachdem bereits Krankenhäuser, Finanzdienstleister, Produktionsbetriebe und Bildungseinrichtungen betroffen waren, weitet die Gruppe nun ihr technisches Arsenal bedrohlich aus.

Die alarmierendste Entwicklung: Akira kann mittlerweile Nutanix AHV virtuelle Maschinen verschlüsseln. Bisher konzentrierten sich die Angreifer auf VMware ESXi und Hyper-V-Umgebungen – nun erweitern sie systematisch ihr Zielspektrum. Was bedeutet das konkret für Unternehmen? Virtualisierungsplattformen bilden das Rückgrat moderner IT-Infrastrukturen. Ein erfolgreicher Angriff kann dutzende Server gleichzeitig lahmlegen und die Verhandlungsposition der Erpresser dramatisch stärken.

Die Angreifer verschaffen sich zunächst Zugang durch Schwachstellen in Edge-Geräten und VPN-Produkten, häufig unter Verwendung gestohlener Zugangsdaten aus Brute-Force-Angriffen. Einmal im Netzwerk, verhalten sie sich raffiniert: Sie nutzen legitime Fernwartungstools wie Anydesk, um als vermeintliche Administratoren zu agieren, deaktivieren Antivirenprogramme und entfernen Endpoint-Detection-Systeme.

Viele Nutzer unterschätzen, wie schnell manipulierte Webseiten und Social‑Engineering mobile Geräte infizieren können. Besonders Angreifer wie hinter ClickFix nutzen trügerische Prüfseiten, um Schadsoftware zu verteilen – auch über Android-Apps und Browser. Ein kostenloser Praxis-Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone: von sicheren Einstellungen über App‑Prüfung bis zum Schutz von Online‑Banking und WhatsApp. Holen Sie sich die Schritt‑für‑Schritt‑Checkliste und schützen Sie Ihre Daten sofort. Gratis-Sicherheits-Paket für Android herunterladen

Besonders perfide: Die Täter erstellen neue Administrator-Konten und umgehen sogar VMDK-Dateischutz-Mechanismen, um hochsensible Anmeldeinformationen zu extrahieren. CISA appelliert eindringlich an Unternehmen, bekannte Sicherheitslücken sofort zu schließen, Multi-Faktor-Authentifizierung durchzusetzen und regelmäßige Offline-Backups zu pflegen.

Europol schlägt zurück: Tausend Server vom Netz

Zwischen dem 10. und 13. November 2025 führten Europol und Eurojust eine koordinierte Aktion gegen die Infrastruktur mehrerer Malware-Familien durch. Die „Operation Endgame” mobilisierte Behörden aus zehn Ländern und zerschlug die Netzwerke hinter dem Rhadamanthys Stealer, Venom RAT (Remote Access Trojan) und dem Elysium-Botnet.

Diese kriminellen Werkzeuge fungieren als Türöffner für Ransomware-Angriffe. In den frühen Angriffsphasen stehlen sie Daten, Zugangsinformationen und Kryptowährungs-Wallets von hunderttausenden Computern weltweit. Die Bilanz der Operation: Der Hauptverdächtige hinter Venom RAT wurde festgenommen, über 1.025 bösartige Server abgeschaltet und 20 Domains beschlagnahmt.

Die Strategie dahinter? Die Angriffskette so früh wie möglich unterbrechen – bevor Ransomware überhaupt zum Einsatz kommt. Eine proaktive internationale Antwort auf die Professionalisierung der Cyberkriminalität.

Neue Tricks: Von gefälschten Sicherheitschecks bis unsichtbarem Code

Doch während Strafverfolger Erfolge feiern, entwickeln Angreifer neue Methoden. Sicherheitsforscher identifizierten diese Woche eine Welle von Infostealer-Malware, die mit dem „ClickFix”-Trick arbeitet. Die Masche: Nutzer werden über Suchergebnisse oder soziale Medien auf manipulierte Webseiten gelockt, die Cloudflare-Sicherheitsprüfungen vortäuschen.

Opfer werden aufgefordert, ein Kommandozeilen-Skript zur „Verifizierung” auszuführen – und installieren damit unwissentlich Infostealer wie ACR oder Odyssey. Die Methode funktioniert auf Windows- und macOS-Systemen gleichermaßen und umgeht herkömmliche E-Mail-Sicherheitsfilter komplett.

Auch die Entwickler-Community bleibt im Visier: Die „GlassWorm”-Malware-Kampagne erlebt ein Comeback. Über bösartige Erweiterungen im Visual Studio Code Marketplace werden GitHub-Zugangsdaten und Krypto-Wallets ausgespäht. Die Besonderheit: Die Angreifer verstecken ihren Code mit unsichtbaren Unicode-Zeichen. Trotz früherer Löschaktionen taucht die Bedrohung immer wieder auf – ein Beleg für die Hartnäckigkeit von Supply-Chain-Angriffen.

Das Wettrüsten beschleunigt sich

Die Ereignisse dieser Woche zeichnen ein klares Bild: Ransomware-Gruppen wie Akira bleiben nicht stehen. Sie analysieren Unternehmensarchitekturen systematisch und passen ihre Werkzeuge an lukrative Ziele wie Virtualisierungsplattformen an. Ihr Fokus auf Umgehungstechniken und privilegierte Zugangsdaten zeigt professionelles Vorgehen.

Der Erfolg der „Operation Endgame” beweist die Wirksamkeit internationaler Zusammenarbeit. Durch die Zerschlagung grundlegender Infrastrukturen treffen Ermittler viele kriminelle Gruppen gleichzeitig. Dennoch: Die Erfindung neuer Infektionsmethoden wie ClickFix zeigt, dass Angreifer sowohl technische Abwehrmechanismen als auch Nutzeraufmerksamkeit geschickt austricksen.

Kann die defensive Seite überhaupt noch mithalten? Die umfassenden Taktikbeschreibungen der CISA-Warnung bieten zumindest eine Roadmap für Verteidiger. Netzwerkadministratoren sollten diese Informationen sofort nutzen, um aktiv nach Bedrohungen zu suchen und Systeme abzusichern. Der neue Fokus auf VM-Verschlüsselung macht robuste, getestete Offline-Backup- und Wiederherstellungspläne wichtiger denn je.

Die vorübergehende Störung durch die Europol-Aktion wird neue kriminelle Dienste nicht dauerhaft verhindern. Organisationen müssen über reaktive Haltungen hinausgehen: Kontinuierliche Bedrohungssuche, KI-gestützte Abwehrtools und umfassende Sicherheitsschulungen zu modernen Social-Engineering-Taktiken sind unverzichtbare Bestandteile einer widerstandsfähigen Cybersicherheitsstrategie.

Das Rennen zwischen Angreifern und Verteidigern beschleunigt sich – nur proaktive, geheimdienstgestützte Sicherheit bietet eine Chance, vorne zu bleiben.

PS: Wenn Sie Sorge haben, dass sensible Chats, Passwörter oder Wallet-Links mitgelesen werden, lohnt sich ein Blick auf sichere Messenger‑Einstellungen. Ein kostenloser PDF-Report erklärt Schritt für Schritt, wie Sie Telegram einrichten, Nummern verbergen, geheime Chats nutzen und die wichtigsten Privatsphäre‑Einstellungen setzen – ideal, um Kommunikation vor neugierigen Dritten zu schützen. Jetzt Telegram-Guide für mehr Privatsphäre herunterladen