Ransomware 2025: Weniger sichtbar, aber gefährlicher denn je

Traditionell dominierende Gruppen wie LockBit und RansomHub sind zerfallen, ihre Plätze wurden von neuen Playern wie Qilin eingenommen. Diese agieren nicht nur technisch ausgefeilter, sondern auch psychologisch gewiefter: Qilin bietet seinen kriminellen Kunden sogar juristische Analysen gestohlener Daten an, um die Bedrohung für Unternehmen zu maximieren. Manche Banden erstellen belastende Dossiers, die sie gezielt an Be­hörden wie das FBI oder nationale Steuerverwaltungen weiterleiten. So soll der Druck auf das Opfer erhöht werden – nicht nur durch Reputationsverlust, sondern auch durch rechtliche Konsequenzen.

Eine zentrale Rolle spielt künstliche Intelligenz. Ob bei Phishing-Kampagnen, Verhandlungsbots oder bei der Erstellung von psychologischen Profilen der Opfer – KI hebt Ransomware auf ein neues, bedrohliches Level. Tools generieren überzeugende Lösegeldforderungen, passen Ton und Argumentation an und verhandeln «intelligent» mit Betroffenen. Ransomware-Gruppen wie die Global Group werben ganz offen mit KI-gestützter Verhandlungsführung als Teil ihres Ransomware-as-a-Service (RaaS)-Modells.

Die Verschlüsselung von Daten verliert an Bedeutung. Stattdessen wird auf den Diebstahl und die Veröffentlichung sensibler Informationen gesetzt. Triple Extortion – die zusätzliche Bedrohung von Mitarbeitenden, Partnern oder Kunden — ist auf dem Vormarsch. Selbst DDoS-Attacken oder gezielte Hinweise an Medien und Aufsichtsbehörden sind Teil der neuen Taktiken.

Besonders alarmierend ist die Professionalisierung durch sogenannte White-Label-Ransomware: Kriminelle Gruppen stellen anderen Angreifern komplette Toolkits zur Verfügung – inklusive Markenlogo, Infrastruktur und Verschlüsselungstechnik. DragonForce treibt dieses Modell auf die Spitze und agiert mittlerweile wie ein Franchise-Geber mit angeschlossenen Affiliate-Partnern.

Die Zersplitterung der Szene erschwert die Verteidigung massiv. Während früher einige wenige Gruppen als Hauptakteure galten, treten heute viele kleine, agile Teams auf – oft mit recyceltem Code und neuen Namen. Das erschwert nicht nur die Zuordnung und die Strafverfolgung, sondern auch die Bedrohungserkennung.
Zugleich sinkt die Zahlungsbereitschaft der Opfer – laut Check Point um rund 25 bis 27 %. Gründe sind bessere Resilienz durch Backup-Strategien, der gesunkene Glaube an die «Ehrlichkeit» der Angreifer sowie gesetzliche Zahlungs-Verbote, z. B. in USA oder Australien.

Klassische Perimeter-Verteidigung reicht längst nicht mehr. Unternehmen sollten:

Die Ransomware-Welt ist nicht kleiner geworden, sondern gefährlich vielschichtiger. KI, Dezentralisierung und neue Erpressungstaktiken verändern die Spielregeln – zum Nachteil der Verteidiger. Jetzt heisst es: Nicht nur verteidigen, sondern verstehen und vorausdenken.

Sie wollen mehr zu Verteidigungs-Strategien gegen Ransomware und allgemein zu Cyber-Security erfahren? Melden Sie sich bei: alps_info@checkpoint.com

Check Point auf der it-sa, 7.-9. Oktober 2025, Halle 6, Stand 328
Weitere Infos unter: https://engage.checkpoint.com/itsa2025