Ransomware 2025: Weniger sichtbar, aber gefährlicher denn je
Publireportage
Traditionell dominierende Gruppen wie LockBit und RansomHub sind zerfallen, ihre Plätze wurden von neuen Playern wie Qilin eingenommen. Diese agieren nicht nur technisch ausgefeilter, sondern auch psychologisch gewiefter: Qilin bietet seinen kriminellen Kunden sogar juristische Analysen gestohlener Daten an, um die Bedrohung für Unternehmen zu maximieren. Manche Banden erstellen belastende Dossiers, die sie gezielt an Behörden wie das FBI oder nationale Steuerverwaltungen weiterleiten. So soll der Druck auf das Opfer erhöht werden – nicht nur durch Reputationsverlust, sondern auch durch rechtliche Konsequenzen.
KI als Verstärker: Angriff mit Intelligenz
Eine zentrale Rolle spielt künstliche Intelligenz. Ob bei Phishing-Kampagnen, Verhandlungsbots oder bei der Erstellung von psychologischen Profilen der Opfer – KI hebt Ransomware auf ein neues, bedrohliches Level. Tools generieren überzeugende Lösegeldforderungen, passen Ton und Argumentation an und verhandeln «intelligent» mit Betroffenen. Ransomware-Gruppen wie die Global Group werben ganz offen mit KI-gestützter Verhandlungsführung als Teil ihres Ransomware-as-a-Service (RaaS)-Modells.
Fragmentierte Angriffsflächen, gezielte Taktiken
Die Verschlüsselung von Daten verliert an Bedeutung. Stattdessen wird auf den Diebstahl und die Veröffentlichung sensibler Informationen gesetzt. Triple Extortion – die zusätzliche Bedrohung von Mitarbeitenden, Partnern oder Kunden — ist auf dem Vormarsch. Selbst DDoS-Attacken oder gezielte Hinweise an Medien und Aufsichtsbehörden sind Teil der neuen Taktiken.
Besonders alarmierend ist die Professionalisierung durch sogenannte White-Label-Ransomware: Kriminelle Gruppen stellen anderen Angreifern komplette Toolkits zur Verfügung – inklusive Markenlogo, Infrastruktur und Verschlüsselungstechnik. DragonForce treibt dieses Modell auf die Spitze und agiert mittlerweile wie ein Franchise-Geber mit angeschlossenen Affiliate-Partnern.
Mehr Täter, weniger Spuren
Die Zersplitterung der Szene erschwert die Verteidigung massiv. Während früher einige wenige Gruppen als Hauptakteure galten, treten heute viele kleine, agile Teams auf – oft mit recyceltem Code und neuen Namen. Das erschwert nicht nur die Zuordnung und die Strafverfolgung, sondern auch die Bedrohungserkennung.
Zugleich sinkt die Zahlungsbereitschaft der Opfer – laut Check Point um rund 25 bis 27 %. Gründe sind bessere Resilienz durch Backup-Strategien, der gesunkene Glaube an die «Ehrlichkeit» der Angreifer sowie gesetzliche Zahlungs-Verbote, z. B. in USA oder Australien.
Was Unternehmen jetzt tun müssen
Klassische Perimeter-Verteidigung reicht längst nicht mehr. Unternehmen sollten:
- Eine vernetzte Sicherheitsarchitektur etablieren, die Endpunkte, Netzwerke und Identitäten schützt – auch in hybriden und Multi-Cloud-Umgebungen.
- Anti-Phishing-Massnahmen und User Awareness grossflächig ausrollen – inklusive der Erkennung KI-generierter Angriffe.
- Proaktive Methoden wie Threat Hunting und Täuschungsmanöver einsetzen, um Angriffe frühzeitig zu erkennen.
- Backup-Strategien segmentieren und Wiederherstellungsprozesse regelmässig testen.
Die Ransomware-Welt ist nicht kleiner geworden, sondern gefährlich vielschichtiger. KI, Dezentralisierung und neue Erpressungstaktiken verändern die Spielregeln – zum Nachteil der Verteidiger. Jetzt heisst es: Nicht nur verteidigen, sondern verstehen und vorausdenken.
Sie wollen mehr zu Verteidigungs-Strategien gegen Ransomware und allgemein zu Cyber-Security erfahren? Melden Sie sich bei: alps_info@checkpoint.com
Check Point auf der it-sa, 7.-9. Oktober 2025, Halle 6, Stand 328
Weitere Infos unter: https://engage.checkpoint.com/itsa2025
