Weniger Ransomware-Gruppen führen wirkungsvollere Angriffe durch
Ransomware-Angriffe haben sich im ersten Quartal 2026 auf einem hohen Niveau stabilisiert. Fast drei Viertel der Angriffe gehen auf das Konto der zehn grössten Ransomware-Gruppen. Die Wahrscheinlichkeit eines Angriffs steigt, wenn Unternehmen ihre Sicherheit vernachlässigen.
Im ersten Quartal 2026 haben sich die Aktivitäten von Ransomware-Gruppen auf einem hohen Niveau etabliert. Die Bedrohungslandschaft unterzieht sich jedoch einem entscheidenden Wandel - hin zu wenigen, aber leistungsfähigen Ransomware-Gruppen, wie Check Point in seinem Quartalsbericht festhält.
Der Cybersecurity-Anbieter zählte 2122 Unternehmen, die im ersten Jahresquartal erpresst wurden. 71 Prozent aller Angriffe verursachten dabei die zehn grössten Ransomware-Gruppen, wie Check Point mitteilt. Das komme einer Umkehrung des "fragmentierten Ökosystems von 2025" gleich. Weniger Gruppen seien nun für mehr Angriffe verantwortlich. Diese Konzentration erhöhe auch Konsistenz, Ausmass und Professionalität der Angriffe.
"Qilin" ist laut Bericht mit 338 Opfern das dritte Quartal in Folge die aktivste Ransomware-Gruppe. An zweiter Stelle folgen "The Gentlemen", die einen massiven Anstieg von 40 Opfern im Vorquartal auf deren 166 verzeichneten. Nach einem vorübergehenden Unterbruch habe sich zudem Lockbit mit 163 Opfern wieder unter den grössten Gruppierungen eingereiht.
Vorgehen wird professioneller und opportunistischer
Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist bei Check Point, vergleicht die eigenen Zahlen mit jenen des deutschen Bundeskriminalamts: "Lockbit und Qilin belegen hier die Plätze vier und fünf. Angesichts der zur Anzeige gebrachten 1041 Fälle ist vor allem der Mittelwert von 456’335 US-Dollar an gezahlten Lösegeldern interessant. Denn in der bundesweiten Fallerhebung gaben lediglich 7 Prozent der Geschädigten von Ransomware an, Lösegeld gezahlt zu haben. Unsere Zahlen zeigen dazu im Vergleich, dass die umtriebigsten Gruppen sehr professionell vorgehen, und das spiegelt sich dann auch im BKA-Report wider."
Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist bei Check Point. (Source: zVg)
Die geografische Verteilung und Auswahl von Zielen für Ransomware-Angriffe wird nicht mehr nur durch Branchenpräferenzen bestimmt, wie der Cybersecurity-Anbieter weiter festhält. Ein entscheidender Faktor sei zunehmend das Vorhandensein ausnutzbarer Infrastruktur, ungeschützter VPNs oder vorab eingerichteter Infrastruktur. Auch ausserhalb der "lukrativen" Branchen könne ein Unternehmen zum Ziel werden, wenn es die eigene Sicherheit vernachlässige - "Angreifer gehen dorthin, wo ihnen Zugang offensteht", schreibt Check Point.
Angriffe konzentrieren sich vermehrt auf Störung des Betriebs
Für den weiteren Jahresverlauf sieht Check Point die Bereiche Fertigung, Unternehmensdienstleistungen, Gesundheitswesen und industrielle Umgebungen weiterhin im Fokus. Dies liege daran, dass ihre Anfälligkeit für Ausfallzeiten und die Komplexität der Umgebung die Auswirkungen möglicher Angriffe verstärke.
Abgesehen von Lösegeldforderungen hänge der Erfolg von Ransomware-Angriffen zunehmend von der Störung des Betriebs ab - der Schaden, den Ausfallzeiten verursachen, sei mittlerweile die stärkste Waffe der Angreifer. Angriffe seien "wiederholbar, skalierbar und zugangsorientiert". Den ersten Angriff zu verhindern sei wichtiger als die Reaktion nach der Verschlüsselung.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point. (Source: zVg)
"Wenn weniger, aber leistungsfähigere Gruppen den Grossteil der Angriffe ausführen, hat jeder Vorfall grössere operative und finanzielle Auswirkungen", sagt Sergey Shykevich, Threat Intelligence Group Manager bei Check Point. "Unternehmen müssen von der Reaktion auf Ransomware-Vorfälle dazu übergehen, das Risiko proaktiv zu verringern, indem sie Zugriffslücken schliessen, Identitäts- und Netzwerkkontrollen verstärken und laterale Bewegungen einschränken."
Im April 2026 hat die Schweiz einen leichten Anstieg von Cyberangriffen verzeichnet. Betroffen sind vor allem die Sektoren Energie und Versorgungsunternehmen, Bildung sowie Gesundheitswesen und Medizin, wie Sie hier nachlesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Führungskräfte und Angestellte haben unterschiedliche Erwartungen an KI
Sophos zeichnet vier Schweizer Unternehmen aus
Microsoft stopft aktiv ausgenutzte Defender-Lücken
Vango?! Weshalb nicht einfach jeder über niederländische Kunst reden kann
Schule für humanoide Robotik startet in Renens
Wie fast jeder zu einer eigenen KI kommt
SpaceX strebt rekordverdächtigen Börsengang an
Cisco schliesst kritische Lücke in Secure Workload
Weniger Ransomware-Gruppen führen wirkungsvollere Angriffe durch
