Ransomware-Angreifer verändern ihre Taktiken: Ein umfassender Überblick
In der heutigen digitalen Landscape haben Ransomware-Angreifer ihre Strategien erheblich verändert, indem sie sich von auffälligen Attacken hin zu subtileren Methoden der Infiltration bewegen. Diese Entwicklung wird in dem jährlichen Red-Teaming-Bericht von Picus Security deutlich, der eine alarmierende Tendenz aufzeigt: Die Drohung mit der Veröffentlichung sensibler Unternehmensdaten ist zum Hauptdruckmittel für Erpressungen geworden.
Daten aus dem Bericht zeigen, dass vier von fünf der häufigsten Angriffstechniken darauf ausgerichtet sind, nach dem ersten Angriff unentdeckt zu bleiben. Ransomware-Gruppen bedienen sich zunehmend einer „parasitären“ Strategie, die eine verdeckte Dauerpräsenz in den Zielnetzwerken ermöglicht. Anstatt durch „räuberische“ Smash-and-Grab-Methoden vorzugehen, nutzen die Angreifer ihre Möglichkeit zur unentdeckten Infiltration, um ihre Aktivitäten über einen längeren Zeitraum auszuweiten.
Ein zentrales Element dieser neuen Taktik ist die Fähigkeit der Angreifer, Command-and-Control-Verkehr (C2) über vertrauenswürdige Unternehmensdienste wie OpenAI und AWS zu leiten. Dadurch erscheinen ihre schädlichen Aktivitäten eher wie normaler Geschäftsdatenverkehr, was die Erkennung durch Sicherheitslösungen zusätzlich erschwert.
Verkettung von Schwachstellen als Angriffsstrategie
Die Ergebnisse des Berichts basieren auf einer umfassenden Analyse, die über 1,1 Millionen Schadsoftware-Dateien und 15,5 Millionen Angriffsaktionen umfasst, die dem MITRE ATT&CK-Framework zugeordnet wurden. Diese methodische Untersuchung zeigt, dass Angreifer zunehmend mehrere Schwachstellen kombinieren, um gezielte Angriffe auf Unternehmenssysteme durchzuführen. Aviral Verma, leitende Analystin für Bedrohungsanalysen bei Securin, erklärt, dass Ransomware-Gruppen Schwachstellen nicht mehr als isolierte Einfallstore betrachten, sondern sie strategisch zu effektiven Angriffsketten verknüpfen.
Verma beleuchtet die evolutionäre Natur dieser Angriffsmuster und betont, dass die Angreifer bei der Auswahl ihrer Schwachstellen nicht nur deren Schweregrad, sondern auch das Potenzial zur Untergrabung von Vertrauen und operativer Kontrolle in den Zielplattformen berücksichtigen.
Rolle der Künstlichen Intelligenz
Obwohl Angreifer immer vertrauter mit Künstlicher Intelligenz (KI) werden, wird diese hauptsächlich als Verstärker in ihren Ransomware-Angriffen eingesetzt. Die Strategie, die beiden Formen der Erpressung zu kombinieren—das Drohen mit der Veröffentlichung gestohlener Informationen und das Schaffen von Chaos durch die Verschlüsselung von Daten—scheint eine gängige Praxis unter den Angreifern zu sein. Interessanterweise berichtet Picus von einem Rückgang der Verschlüsselungsangriffe um 38 Prozent in den letzten 12 Monaten, was darauf hindeutet, dass immer mehr Cyberkriminelle dazu übergehen, Daten unbemerkt zu exfiltrieren.
Kontroversen um die Fallzahlen
Trotz der Behauptungen von Picus, dass die Anzahl der Ransomware-Angriffe abnimmt, findet sich in der Sicherheitscommunity eine gegenteilige Meinung. Tony Anscombe, Chief Security Evangelist bei ESET, stellt klar, dass die Erkennungsdaten im aktuellen ESET-Threat-Report für das zweite Halbjahr 2025 einen Anstieg von 13 Prozent zwischen den ersten beiden Halbjahren zeigen. Zudem meldet ecrime.ch einen Anstieg der öffentlich gemeldeten Opfer um 40 Prozent, was darauf hinweist, dass Ransomware-Angriffe möglicherweise nicht rückläufig sind.
GuidePoint Security hat ähnliche Beobachtungen gemacht und warnt davor, dass die Zahl der aktiven Ransomware-Gruppen im vergangenen Jahr auf einen neuen Höchststand gestiegen ist. Nick Hyatt, Senior Threat Intelligence Consultant bei GuidePoint, berichtet, dass über 7.000 Opfer im letzten Jahr betroffen waren, während Ransomware-Gruppen ihre Taktiken verfeinert haben, um ihre Angriffskapazitäten zu maximieren.
Die üblichen Verdächtigen
Im Zuge dieser Entwicklungen haben sich bestimmte Ransomware-Gruppen als besonders aktiv herauskristallisiert. Experten von CSO identifizierten Gruppen wie Qilin, Cl0p und Akira als führend in der Szene. Dray Agha, Senior Manager von Huntress, hebt hervor, dass Akira durch eine rasante Entwicklung ihrer Methoden und das gezielte Angreifen von Hypervisoren Agilität demonstriert.
Diese Dynamik macht deutlich, dass Ransomware-Betreiber sich nicht mehr wie klassische Kriminelle verhalten, sondern zunehmend wie innovative Plattformunternehmen agieren. Collin Hogue-Spears von Black Duck Software berichtet von einer Versiebenfachung der Opferzahlen durch die Gruppe Qilin im Jahr 2025.
Die Rolle von Cybercrime-Dienstleistern
Die Gründung von Dienstleistungsgruppen wie der Föderation SLSH, die Extortion-as-a-Service anbieten, hat es auch technisch weniger versierten Kriminellen erleichtert, in das Geschäft einzusteigen. Innerhalb von sechs Monaten sind 73 neue Gruppen entstanden, die ihre Tools mieten, anstatt sie selbst zu entwickeln. Vasileios Mourtzinos von Quorum Cyber betont, dass immer mehr Gruppen von effektiver Verschlüsselung zu erpresserischen Modellen übergehen, bei denen Datendiebstahl und unauffälliger Zugang im Vordergrund stehen.
Interne Bedrohungen
Eine alarmierende Entwicklung ist der zunehmende Missbrauch von validen Konten und administrativen Tools, um sich innerhalb der Unternehmen einzufügen. Einige Angreifer rekrutieren sogar Insider oder bestochen sie, um Zugang zu sensiblen Informationen zu erhalten. Diese neuerlichen Methoden erfordern ein Überdenken der Abwehrstrategien. CISOs sollten ihre Prioritäten neu ausrichten, um Identitätsprüfungen zu stärken und die Integrationen von Drittanbietern genau zu überwachen.
Die ständig wechselnden Taktiken der Ransomware-Gruppen verdeutlichen die Dringlichkeit, angemessene Sicherheitsmaßnahmen zu implementieren, um die gegenwärtigen Bedrohungen wirksam zu bekämpfen.