Quelle Check Point Software Technologies Ltd: Ransomware-Opfer in Prozent nach Ländern
Quelle Check Point Software Technologies Ltd: Ransomware-Opfer in Prozent nach Ländern

Check Point Research (CPR), die Sicherheitsforschungs-abteilung von CheckPoint Software Technologies Ltd (NASDAQ: CHKP), hat ihren Ransomware Report für das zweite Quartal 2025 veröffentlicht: Gezieltere Erpressungsversuche, wachsende Einbindung von künstlicher Intelligenz in die Attacken und aggressivere Verhandlungen über Lösegelder.

Die wichtigsten Erkenntnisse des diesjährigen Check Point Ransomware Report Q2 umfassen folgende Thematik:

  • Grosse Ransomware-as-a-Service-Gruppen (RaaS) brachen zusammen, wie LockBit und RansomHub, was zu einer Fragmentierung des kriminellen Ökosystems geführt hat, das aber nach wie vor sehr aktiv ist.
  • Die Gruppierung um die Ransomware Qilin stieg an die Spitze der Akteure auf und erpresst Nutzer mit juristisch angehauchten Texten und Themen, sowie innovativen Taktiken.
  • Der Aufstieg von KI beim Phishing, bei Verhandlungs-Bots und Affiliate-gesteuerten Kartell-Modellen wurde erfasst. Letztere werden von DragonForce und anderen Banden vorangetrieben.
  • Ransomware-Banden entfernen sich weiterhin vom Verschlüsseln kritischer Daten und gehen verstärkt über zum Stehlen und (angedrohten) Veröffentlichen, um Druck auf die Unternehmen hinsichtlich eines Lösegelds – oder besser: Erpressungsgeldes – auszuüben.
  • Um erwähnenswerte sechs Prozent sank die Zahl der öffentlich genannten Opfer, was aber nicht als blosser Rückgang gedeutet werden darf, obwohl der Druck kürzlich erfolgter Polizeiaktion sicherlich hineinspielt, sondern auf bessere und verborgenere Operationen der Hacker hinweist.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software Technologies Ltd., fasst die Beobachtungen zusammen: «Im zweiten Quartal 2025 haben wir eine deutliche Veränderung in der Ransomware-Landschaft beobachtet, nämlich weniger dominante RaaS-Gruppen, einen Rückgang der öffentlich bekannt gewordenen Opfer und differenziertere Erpressungstaktiken. Da die Hacker ihre jeweilige Ransomware an ein nun fragmentiertes Ökosystem anpassen, erwarten wir noch aggressivere Verhandlungsstrategien und eine zunehmende Abhängigkeit von KI zur Automatisierung und Verbesserung aller Phasen des Angriffs.»

Verteilung der Ransomware-Opfer im zweiten Quartal 2025

An erster Stelle stehen nach wie vor die USA, doch danach, zwar mit grossem Abstand, teilt sich Deutschland mit Kanada und Grossbritannien den zweiten Platz.

Die Sicherheitsforscher von Check Point haben auch die Verteilung nach einzelnen Branchen unter die Lupe genommen: Die Top 5 liegen eng beieinander, nur 3 Prozentpunkte trennen den ersten vom fünften Platz: Business Services stehen hier knapp vor produzierendem Gewerbe sowie Konstruktion und Ingenieurwesen. Auf Platz 4 folgt das Gesundheitswesen, danach Konsumprodukte samt Dienstleistungen. Deutlich zu sehen ist die Fragmentierung dieser Graphik und die damit breite Streuung von Ransomware-Attacken über alle Branchen hinweg.

Ausserdem haben die Sicherheitsforscher beobachtet, dass Ransomware-Gruppen vermehrt Unternehmenslogos kopieren und White-Label-Dienste anbieten, also einen Blanko-Bausatz für kriminelle Kunden. Sie gehen sogar so weit, dass sie Partnerschaften mit Ramp, dem führenden Untergrundforum für Ransomware, eingehen. Daneben wirbt die Ransomware-Gruppe Global Group (auch bekannt als El Dorado oder Blacklock) für «KI-gestützte Unterstützung bei Verhandlungen» als Teil ihres Ransomware-as-a-Service-Angebots. Sicherheitsexperten glauben, dass diese KI-Tools folgendes beinhalten:

  • Bots, die eine personalisierte Korrespondenz über das Lösegeld erstellen, basierend auf den Antworten der Opfer.
  • KI-generierte Lösegeldforderungen, die überzeugender oder bedrohlicher wirken sollen.
  • Erstellung eines psychologischen Profils des Gegenübers, um strategischen Druck auf Entscheidungsträger ausüben zu können.

Die neue Nummer 1 unter den Ransomware-Gruppen, Qilin, geht sogar so weit, dass sie ihren Kunden eine juristische Prüfung gestohlener Daten anbietet, um zu bewerten, welche Verstösse gegen Regularien und Gesetze durch den Datendiebstahl dem Opfer drohen, sowie die Vorbereitung einer Dokumentation über diese Vergehen, um sie Behörden vorlegen zu können, damit diese gegen das Opfer ermitteln müssen, wie Finanzämter, Polizeien, oder – in den USA – das FBI.

Hinzu kommt, dass sich das Geschäft mit der Ransomware professionalisiert und dezentralisiert. Die Bande namens DragonForce gehörte zu den ersten Gruppen in diesem illegalen Metier und bezeichnet sich selbst nun als „Ransomware-Kartell-Modell“. Das bedeutet, dass die Affiliate-Partner des RaaS nicht mehr einem zentralen Leitfaden folgen müssen, sondern halb-unabhängig agieren dürfen. Das umfasst eigene Kampagnen, eigene Ziele und angepasste Erpressungsmethoden durch die Affiliate-Partner.

Schlüsselelemente dieses Kartell-Modells

  • White-Label-Tools: Affiliate-Partner erhalten Zugang zum fortschrittlichen Ransomware-Bausatz von DragonForce, der Veröffentlichungs-Infrastruktur für gestohlene Datensätze und deren Verschlüsselungsmechanismus als Blanko-Baukasten.
  • Markenlizenzierung: Sämtliche Attacken der Affiliate-Partner tragen den Namen der Gruppe, DragonForce, obwohl die Hintermänner nicht involviert waren, was deren Ruf als berüchtigte Bande stärken soll.
  • Operative Unabhängigkeit: Diese Strategie verteilt das Risiko auf mehrere Akteure, erhöht die Reichweite der gesamten Gruppierung, erschwert die Abschaltung und verschleiert die Zuordnung von einzelnen Attacken zu bestimmten Leuten.

Interessant ist auch, dass erstmals die weltweite Zahlungshäufigkeit von Ransomware-Lösegeld um 25 bis 27 Prozent gesunken sei. Im Gegenzug aber modifizieren die Cyber-Kriminellen ihre Taktiken. Eine weitere, wichtige Erkenntnis: Die Dominanz von Ransomware konzentriert sich nicht mehr auf einige wenige Namen. Stattdessen beobachten die Sicherheitsforscher eine Fragmentierung des Ökosystems, was für Verteidiger eine grosse Herausforderung darstellt.

Allein im zweiten Quartal 2025 ereignete sich:

  • LockBit, einst die produktivste RaaS-Gruppe, erlitt weitere operative Rückschläge und verlor Partner.
  • RansomHub, eine weitere hochrangige Gruppe, wurde Berichten zufolge geschlossen.
  • Cactus und andere mittelgrosse Gruppen sind untergetaucht oder haben sich in kleinere Ableger aufgespalten.

Anstelle eines Rückgangs der Ransomware-Aktivitäten ergab sich jedoch ein Anstieg neuer oder umbenannter Akteure, von denen viele geleakte Kodierungen und Tools wiederverwenden, diese jedoch mit grösserer Heimlichkeit einsetzen. Zusammengefasst heisst das: Das Ransomware-Ökosystem schrumpft nicht, es zersplittert in kleinere Teile.

Um Ransomware im Jahr 2025 einen Schritt voraus zu sein, sind daher mehr als nur Patches und Perimeter-Abwehrmassnahmen erforderlich. Auf Grundlage dieser Erkenntnisse empfiehlt Check Point Folgendes:wFühren Sie eine vernetzte Sicherheitsarchitektur ein, die Endpunkt-, Netzwerk- und Identitätsschutz integriert, insbesondere in hybriden und Multi-Cloud-Umgebungen.

  • Setzen Sie Anti-Phishing-Massnahmen in grossem Umfang ein, einschliesslich Sensibilisierung der Benutzer, E-Mail-Scans und Verhaltensanalysen, mit denen KI-generierte Köder erkannt werden können.
  • Nutzen Sie Täuschungsmanöver und Threat Hunting, um Aktivitäten von Komplizen und laterale Bewegungen frühzeitig in der Angriffskette aufzudecken.
  • Segmentieren Sie Ihre Backups und testen Sie die Wiederherstellung regelmässig. Verlassen Sie sich nicht auf Richtlinien oder Erfolge in der Vergangenheit…

Detailierte Infos:

https://research.checkpoint.com/2025/the-state-of-ransomware-q2-2025

Check Point® Software Technologies Ltd

www.checkpoint.com

 

Verwandte ArtikelMehr vom Autor