Statt eines kurzen, aber sehr schmerzhaften Stiches setzen Cyberkrimelle zunehmend darauf, sich in ihren Opfern festzubeißen und beständig auszusaugen.
mycteria – shutterstock.com
Ransomware-Angreifer ändern zunehmend ihre Taktik und setzen vermehrt auf unauffällige Infiltration. Dies liegt daran, dass die Drohung mit der Veröffentlichung sensibler Unternehmensdaten zum Hauptdruckmittel bei Erpressungen geworden ist.
Der jährliche Red-Teaming-Bericht von Picus Security zeigt, dass Angreifer zunehmen von auffälligen Störungen zu stillen, langfristigen Zugriffen übergehen, also weg von „räuberischen“ Smash-and-Grab-Methoden hin zu einer „parasitären“ Strategie mit verdeckter Dauerpräsenz.
So seien vier von fünf der häufigsten Angriffstechniken von Ransomware-Varianten darauf ausgelegt, nach dem ersten Angriff unentdeckt zu bleiben. Laut Picus Security setzen Ransomware-Angreifer zunehmend darauf, Sicherheitsvorkehrungen zu umgehen und sich im Netzwerk festzusetzen, da sich ihr Vorgehen kontinuierlich weiterentwickelt hat.
Zudem leiteten Angreifer Command-and-Control-Verkehr (C2) immer häufiger über vertrauenswürdige Unternehmensdienste wie OpenAI und AWS, damit ihre schädlichen Aktivitäten stärker wie normalen Geschäftsdatenverkehr erscheinen.
Verkettung als Strategie
Die Schlussfolgerungen von Picus Security basieren auf Angriffssimulationen sowie die Analyse von 1,1 Millionen Schadsoftware-Dateien und 15,5 Millionen Angriffsaktionen, die dem MITRE ATT&CK-Framework zugeordnet wurden.
MIt der Erkenntnis, dass Angreifer Tarnung und Beharrlichkeit gegenüber auffälligen Störungen bevorzugen, ist Picus nicht allein. Sie deckt sich mit den Ergebnissen der Ransomware-Forschung von Securin (Download gegen Daten). Wie das Unternehmen berichtet, verketten Angreifer zunehmend mehrere Schwachstellen in ihren Angriffen auf Unternehmenssysteme miteinander.
„Ransomware-Gruppen betrachten Schwachstellen nicht mehr als isolierte Einfallstore“, erklärt Aviral Verma, leitende Analystin für Bedrohungsanalysen von Securin. „Sie verknüpfen sie zu gezielten Angriffsketten und wählen Schwachstellen nicht nur nach deren Schweregrad aus, sondern auch danach, wie effektiv sie damit Vertrauen, Persistenz und operative Kontrolle über ganze Plattformen hinweg untergraben können.“
KI verstärkt Ransomware
Wenngleich Angreifer immer stärker mit KI vertraut sind, fungiert sie bei Ransomware-Angriffen primär als Verstärker und nicht als treibende Kraft. Ransomware-Banden bevorzugen häufig, ihre Opfer doppelt zu erpressen: Zum einen drohen sie damit, die gestohlenen Informationen zu veröffentlichen, zum anderen mit dem Chaos, dass die Verschlüsselung der Daten nach dem Eindringen in Unternehmensnetzwerke verursacht.
Mittlerweile sind diese Attacken allerdings weniger geworden, wie Picus berichtet. Konkret spricht das Unternehmen von einem Rückgang der Verschlüsselungen um 38 Prozent in den letzten 12 Monaten. Der Hintergrund: Immer mehr Cyberkriminelle würden dazu übergehen, Daten unbemerkt zu exfiltrieren, um die Opfer zu erpressen.
Kein Rückgang, eher Zunahme
Picus’ Behauptung, die Anzahl der Ransomware-Angriffe gehe zurück, ist allerdings umstritten. So vertritt Tony Anscombe, Chief Security Evangelist bei ESET, einem Anbieter von Endpoint-Security-Lösungen, eine gegenteilige Meinung:
„Im aktuellen ESET-Threat-Report für das zweite Halbjahr 2025 zeigen die Erkennungsdaten einen Anstieg von 13 Prozent zwischen dem ersten und zweiten Halbjahr“, erklärt der Experte gegenüber unserer US-amerikanischen Schwester. „Gleichzeitig stieg die Zahl der öffentlich gemeldeten Opfer laut ecrime.ch um 40 Prozent. Daher scheint Ransomware nicht rückläufig zu sein.“
Mehr Opfer durch Optimierung
Auch der Cybersicherheitsdienstleister GuidePoint Security sieht keinen Rückgang – ganz im Gegenteil. Wie das Unternehmen darstellt, erreichte die Zahl der aktiven Ransomware-Gruppen im vergangenen Jahr einen neuen Höchststand.
So gibt Nick Hyatt, Senior Threat Intelligence Consultant bei GuidePoint Security, an, dass im vergangenen Jahr die Daten von über 7.000 Opfern veröffentlicht wurden. Diese Zahl schließt wahrscheinlich diejenigen aus, die zwar Lösegeld zahlten, deren Daten aber nie von den Angreifern veröffentlicht wurden.
„Die Angreifer haben ihre Angriffsfähigkeiten optimiert und setzen auf eine Mischung aus etablierten Techniken, der Ausnutzung von Sicherheitslücken und neuartigen Angriffen, um ihre Ziele zu erreichen“, so Hyatt.
Obenauf die üblichen Verdächtigen
Die von CSO befragten Experten stuften Qilin, Cl0p und Akira allgemein als die aktivsten Ransomware-Gruppen ein, allerdings gab es zahlreiche weitere Konkurrenten.
„Laut den Huntress-Daten für 2025 ist Akira heute die führende Ransomware-Gruppe“, erklärt Dray Agha, Senior Manager of Security Operations beim Managed Detection and Response-Anbieter Huntress. „Ihre Vorgehensweise entwickelt sich rasant weiter, insbesondere um bestehende Sicherheitslösungen zu neutralisieren. Wir beobachten, dass sie aggressiv die Hypervisor-Ebene angreifen, um herkömmliche Endpoint-Sicherheitsmaßnahmen vollständig zu umgehen.“
Collin Hogue-Spears, leitender Direktor und technischer Experte beim Sicherheitsunternehmen Black Duck Software, erklärt, dass Ransomware-Betreiber nicht mehr wie organisierte Verbrecher, sondern wie ein Plattformunternehmen agieren. So verzeichnete Qilin 2025 „über 1.000 Opfer, eine Versiebenfachung gegenüber dem Vorjahr“, wie der Experte erläutert. „LockBit 5.0 hat, nachdem es abgeschaltet wurde, seine Einsatzfähigkeit wiedererlangt.“
Cybercrime-Dienstleitung befeuert das Verbrechen
Unterdessen bietet die Föderation aus Scattered Spider, Lapsus$ und ShinyHunters, kurz SLSH, Extortion-as-a-Service an – ein Ansatz, der es auch technisch weniger versierten Cyberkriminellen erleichtert, sich auf betrügerische Weise ihren Lebensunterhalt zu verdienen. „Innerhalb von sechs Monaten sind 73 neue Gruppen entstanden, weil sie ihre Tools nicht mehr selbst entwickeln müssen“, so Hogue-Spears. „Sie mieten sie.“
Vasileios Mourtzinos, Mitglied des Bedrohungsteams beim Managed-Detection-and-Response-Unternehmen Quorum Cyber, erklärt, dass immer mehr Gruppen von wirksamer Verschlüsselung zu erpressungsbasierten Modellen übergehen. Dabei stünden Datendiebstahl und ein langanhaltender, unauffälliger Zugriff im Vordergrund.
Gefahr kommt von innen
„Diese Vorgehensweise, die durch Akteure wie Cl0p bekannt wurde, indem sie Schwachstellen in Drittanbietersystemen und Lieferketten großflächig ausnutzen, findet nun immer breitere Anwendung“, so Mourtzinos. „Hinzu kommt der zunehmende Missbrauch gültiger Konten und legitimer administrativer Tools, um sich in den normalen Geschäftsbetrieb einzufügen. In einigen Fällen werden sogar Insider rekrutiert oder mit Anreizen bestochen, um den Zugriff zu ermöglichen.“
Diese sich stetig weiterentwickelnden Methoden von Ransomware-Gruppen erfordern ein Überdenken der Abwehrstrategien. „Für CISOs sollte die Priorität darin bestehen, die Identitätskontrollen zu stärken, vertrauenswürdige Anwendungen und Integrationen von Drittanbietern genau zu überwachen und sicherzustellen, dass sich die Erkennungsstrategien auf Persistenz und Datenexfiltration konzentrieren“, rät er. (tf)
