Seit Mitte Oktober 2025 attackiert die weltweit agierende Hackergruppierung INC mit einem groß angelegten Cyberangriff Unternehmen im gesamten österreichischen Bundesgebiet.
Betroffen sind derzeit Unternehmen aller Branchen und Größen – von Industrieunternehmen bis hin zu kleineren Anwalts- und Steuerberatungskanzleien – im gesamten Bundesgebiet, von Niederösterreich bis Vorarlberg.
Täglich kommen neue Opfer hinzu. Die Angriffe weisen jeweils folgende Gemeinsamkeiten und Merkmale auf: Als Einstiegspunkt wird eine Schwachstelle eines führenden Firewall-Herstellers ausgenutzt. Anschließend werden Unternehmensdaten gestohlen; nach dem Datenabfluss wird die IT-Infrastruktur verschlüsselt. Die betroffenen Unternehmen werden danach mit Lösegeldforderungen erpresst – sowohl durch die Betriebsunterbrechung (Verschlüsselung) als auch durch die Androhung der Veröffentlichung der Daten im Darknet. Dieses Vorgehen wird als „Double Extortion“ (doppelte Erpressung) bezeichnet.
Die Höhe der Lösegeldforderungen orientiert sich am Jahresumsatz der betroffenen Unternehmen und wird im ersten Verhandlungsschritt auf der Darknet-Verhandlungsseite der Tätergruppe genannt. Kleine und mittlere Unternehmen (KMU) müssen mit Forderungen im niedrigen sechsstelligen Bereich rechnen, während Großunternehmen mit siebenstelligen Beträgen in Kryptowährungen erpresst werden. Viele Unternehmen sehen sich gezwungen, das Lösegeld zu bezahlen, um existenzbedrohende Schäden abzuwenden.
Das Incident Response Service Team der Agentur Cyberschutz betreut derzeit fünf Fälle in mehreren Bundesländern und registriert täglich über firmeninterne Darknet-Analysen neue Opfer.
Die Tätergruppe INC ist seit 2023 weltweit aktiv und zählt mittlerweile zu den führenden Double-Extortion-Gruppen. Im Jahr 2023 wurde beim Start der Gruppe als erstes Opfer weltweit ein österreichisches Thermenhotel attackiert. Danach verlagerte sich die Angriffswelle von Europa nach Nordamerika. In den vergangenen Jahren wurden weltweit Opfer von INC verzeichnet, darunter auch vereinzelte Angriffe in Österreich. Die aktuelle Häufung der Angriffe auf österreichische Unternehmen ist jedoch einzigartig und bislang beispiellos. Mit hoher Wahrscheinlichkeit bedient sich INC eines Affiliate-Systems, bei dem über „Ransomware-as-a-Service“ Partner der Tätergruppe die Angriffe durchführen.
Betroffenen Unternehmen wird ein umfassendes Incident-Response-Service empfohlen, bestehend aus Experten für IT-Forensik, PR-Management, Datenschutzrecht (DSGVO), Verhandlungsführung und Krisenkoordination. In diesen Worst-Case-Szenarien reichen herkömmliche IT-Dienstleistungen nicht aus.
12.11.2025
