Ransomware-Gruppen ändern ihre Angriffsstrategie

Die Bedrohungslage durch Ransomware verändert sich stetig. Laut dem Check Point Ransomware Report für das zweite Quartal 2025 sind einige Ransomware-as-a-Service-Gruppen zwar zerfallen, was jedoch nicht zu weniger Angriffen führte – vielmehr fragmentiere sich das kriminelle Ökosystem in kleinere, weniger sichtbare Bedrohungsakteure. Zudem würden aggressivere Verhandlungsstrategien und die Abhängigkeit von KI zur Automatisierung und Verbesserung von Cyberangriffen zunehmen.

Im internationalen Vergleich sind die USA mit 49 Prozent aller Fälle weiterhin am stärksten von Ransomware-Angriffen betroffen. Den zweiten Platz teilen sich Deutschland, Kanada und Grossbritannien mit je 5 Prozent. Die am häufigsten angegriffenen Branchen beziehungsweise Sektoren waren im zweiten Quartal 2025 Business Services (10,7 Prozent), das produzierende Gewerbe (9,8 Prozent), Konstruktion und Ingenieurwesen (9,5 Prozent), das Gesundheitswesen (7,8 Prozent) sowie Konsumprodukte und Dienstleistungen (7,6 Prozent).

Neue Strategien von Ransomware-Gruppen

Wie es weiter heisst, setzen einige Ransomware-Gruppen wie etwa Qilin abgesehen von klassischen Erpressungsversuchen verstärkt auf Rechtsberatung. So biete die Gruppe juristische Prüfungen gestohlener Daten für ihre Kunden an. Dies erhöht gemäss Check Point den Druck auf betroffene Unternehmen, die nun auch mit strafrechtlichen Konsequenzen aufgrund von Meldepflichtverletzungen konfrontiert werden. Auch werde der Einsatz von KI für Phishing, automatisierte Verhandlungen und psychologische Profilerstellung vorangetrieben. 

Professionalisierung durch White-Label-Modelle

Besonders auffällig sei des Weiteren das sogenannte "Ransomware-Kartell-Modell", das erstmals von Dragonforce offen beworben werde. Dieses ermögliche anderen Cyberkriminellen Zugang zu White-Label-Bausätzen, die Veröffentlichungsinfrastruktur für gestohlene Datensätze und deren Verschlüsselungsmechanismen enthalten. Cyberkriminelle agieren so unter dem Namen des Anbieters, ohne dass dieser direkt beteiligt ist. Diese operative Unabhängigkeit verteile die Risiken, erhöhe die Reichweite und erschwere Gegenmassnahmen, schreibt Check Point weiter.

Cyberkriminelle passen sich an Gegenmassnahmen an

Rückläufig sei allerdings die weltweite Häufigkeit von Lösegeldzahlungen um 25 bis 27 Prozent. Check Point führt dies auf gesteigerte Resilienz von Unternehmen, geringes Vertrauen gegenüber Cyberkriminellen sowie politische Massnahmen wie Zahlungsverbote zurück. Ransomware-Gruppen würden sich jedoch an diese Entwicklungen anpassen, indem sie vermehrt Methoden wie dreifache Erpressung (Triple Extortion), DDoS-Attacken sowie gezielte Rufschädigung einsetzen und gestohlene Datensätze im Darknet verkaufen.

Herausforderungen für Cybersicherheitsverantwortliche

Die Fragmentierung von grossen Ransomware-Gruppe führe dazu, dass Cybersicherheitsverantwortliche heute mit einer Vielzahl kleinerer, weniger sichtbarer Bedrohungsakteure umgehen müssen. Unternehmen sollten deshalb laut Check Point vernetzte Sicherheitsarchitekturen etablieren, die Endpunkt-, Netzwerk- und Identitätsschutz integrieren – insbesondere in hybriden und Multi-Cloud-Umgebungen. Empfohlen werden zudem Anti-Phishing-Massnahmen, Täuschungsmanöver und Threat Hunting sowie segmentierte Backups und regelmässige Wiederherstellungstests.

Übrigens: Schweizer Unternehmen zahlen bei Ransomware-Angriffen häufiger Lösegeld als der internationale Durchschnitt. Doch viele zeigen Verhandlungsgeschick – und zahlen am Ende deutlich weniger als verlangt. Lesen Sie hier mehr darüber.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.