Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden

„Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

[datensicherheit.de, 14.05.2025] Es spanne sich ein Bogen der Bedrohung von „WannaCry“ im Jahr 2017 bis zu bösartiger Künstlicher Intelligenz (KI) unserer Tage und der nahen Zukunft: „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“ vom 12. Mai 2025 – dieser ist eine von INTERPOL und Kaspersky ins Leben gerufene globale Sensibilisierungsinitiative, um warnend an eine der erfolgreichsten Cyberattacken der Geschichte zu erinnern, eben an die „WannaCry“-Attacke von 2017. Eggerling ruft die damaligen Folgen in Erinnerung: „Innerhalb weniger Stunden fegte die Ransomware-Kampagne über den Globus, legte Krankenhäuser in Großbritannien lahm, stoppte Produktionsstraßen und unterbrach wichtige Dienste auf fast allen Kontinenten.“ „WannaCry“ sei sozusagen ein Wendepunkt – diese Ransomware hat demnach gezeigt, wie unvorbereitet selbst die zu jener Zeit fortschrittlichsten Systeme waren. „Aber so schädlich dieser Angriff auch gewesen ist, er war nur ein Prolog!“, so Eggerlings Prognose.

Foto: Check Point Software

Marco Eggerling: Der „Anti-Ransomware-Tag“ sollte daher dazu dienen, um sich einen Moment Zeit zu nehmen, über Schritte nachzudenken, die verhindern, dass man wegen einer künftigen Attacke in den Schlagzeilen der Zeitungen landet

Ransomware-Gruppen operieren eher wie digitale Kartelle denn als einzelne Hacker

Im Jahr 2025 ist die Bedrohungslandschaft laut Eggerling „wesentlich komplexer“: Die Ransomware-Gruppen operierten eher wie digitale Kartelle denn als einzelne Hacker. Ihre Werkzeuge seien schärfer, ihre Ziele strategischer und ihre Taktiken von KI durchdrungen. „Anlässlich des diesjährigen ,Anti-Ransomware-Tags’ blicken wir nicht nur in die Vergangenheit, sondern schlagen auch Alarm für die Zukunft.“

Die Entwicklung von Ransomware sei eine ständige Neuerfindung. „Was als plumpe ,Lock-and-Demand’-Malware begann, hat sich zu mehrstufigen Erpressungsunternehmungen entwickelt. Die Angreifer verschlüsseln nicht mehr nur Daten – sie stehlen sie, lassen sie durchsickern und machen sie zu Druckmitteln. Allein im ersten Quartal 2025 wurden laut ,Check Point Research’ 2.289 Ransomware-Opfer auf Datenleck-Seiten aufgelistet – ein Anstieg um 126 Prozent im Vergleich zum Vorjahr.“

In den kommenden Monaten noch aggressivere Dreifach-Erpressungsmodelle bei Ransomware-Angriffen möglich

Die „Cl0p-Gruppe“, eine der aktivsten Ransomware-Banden, habe sich z.B. weitgehend von der Dateiverschlüsselung wegbewegt auf reine Datenerpressung verlagert. Ihre frühe, auf die Dateiübertragungsplattform „Cleo“ abzielende Kampagne aus dem laufenden Jahr, 2025, habe mehr als 300 Unternehmen kompromittiert – „83 Prozent der Opfer sitzen in Nordamerika, insbesondere in der Fertigung und Logistik“.

Mit diesen neuen Strategien könnten Cyberkriminelle eine Entdeckung besser vermeiden, Abwehrmaßnahmen umgehen und den psychologischen Druck auf die Opfer erhöhen. „Wir erwarten, dass in den kommenden Monaten noch aggressivere Dreifach-Erpressungsmodelle auftauchen werden, die DDoS-Angriffe, gestohlene Daten und direkte Einschüchterung der Opfer durch Anrufe oder E-Mails an Kunden und Geschäftspartner kombinieren werden.“

Cyberverbrechen der Profiklasse mittels „Ransomware-as-a-Service“

Die Einstiegshürde für Ransomware sei gefallen. Sogenannte RaaS-Modelle (Ransomware-as-a-Service) hätten die Bedrohung industrialisiert, vereinfacht und die Cyberkriminalität in ein skalierbares Geschäft verwandelt. „Jeder kann sich nun Ransomware im Baukastensatz mieten. Im Fall der jüngst von uns untersuchten ,Ransomware DragonForce’ kann der Mieter sogar einen Blanko-Bausatz erwerben und selbst etikettieren, um seine eigene Ransomware-Marke aufzubauen.“

Im Jahr 2024 seien 46 neue Ransomware-Gruppen ins Spiel gekommen – ein Anstieg von 48 Prozent gegenüber dem Vorjahr (2023), angetrieben durch „Plug-and-Play“-Kits, Partnerprogramme und sogar Kundensupport-Portale.

Der Aufstieg von „RansomHub“: Krimineller Cybercommerce

„An der Spitze der Charts steht ,RansomHub’, das für 531 bekannte Angriffe verantwortlich ist und damit sogar das berüchtigte ,LockBit’ übertrifft.“ Diese Gruppen spiegelten Startups wider – „agil, kundenorientiert und beunruhigend effektiv“.

Ihre Toolkits umfassten jetzt Dashboards, Telemetrie-Analysen und Lokalisierungsfunktionen. „Es geht also nicht nur um Cyberkriminalität, sondern um Cybercommerce!“

KI als Trumpf für Ransomware-Angreifer

2025 sei nun das Jahr, in dem KI in vollem Umfang in das Arsenal der Ransomware Einzug halte:

• KI-generierte Phishing-Köder, welche Schreibstile und Sprachen imitieren.
• Benutzerdefinierte Malware wird mit Generativen KI-Tools wenigen Minuten erstellt.
• Deepfake-Imitationen von Führungskräften, die bei BEC-Angriffen („Business eMail Compromise“) verwendet werden.
• Verwendung legitimer IT-Tools zur unbemerkten Deaktivierung von Sicherheitskontrollen bei Einbrüchen.

Hacker-Gruppierungen wie „FunkSec“ machten sich diese Fähigkeiten bereits zunutze, um Entwicklungszyklen zu optimieren und Angriffe auszuweiten. „In einer Kampagne nutzten die Angreifer KI-generierten Code, um die EDR-Erkennung zu umgehen, indem sie legitime Skripte aneinanderreihten, welche die Verhaltensanalyse-Engines umgingen.“

„Industrielle Revolution“ der Ransomware im Gange

Eggerling kommentiert: „Wir erleben also gerade die ,Industrielle Revolution von Ransomware’. KI macht es einfacher als je zuvor, Ransomware-Angriffe anzupassen, einzusetzen und zu skalieren – und die Auswirkungen sind nicht mehr nur technischer Natur. Sie sind operativ, finanziell und rufschädigend geworden.“

Ihre Sicherheitsforscher rechneten mit zwei bis drei groß angelegten Ransomware-Angriffen auf eine Lieferkette im Jahr 2025, „bei denen KI nicht nur für die Erstellung der Nutzlast, sondern auch für die Automatisierung von Seitwärtsbewegungen, die Priorisierung von Zielen und sogar die Aushandlung des Lösegelds eingesetzt werden wird“.

Psychologische Manipulationsebene der Ransomware: Desinformation und digitale Erpressung

Die psychologische Manipulationsebene der Ransomware sei genauso gefährlich geworden wie die Malware selbst: „Es gibt Banden, wie ,Babuk-Bjorka’, die sich eine beunruhigende Taktik zu eigen gemacht haben: Sie veröffentlichen gefälschte oder recycelte Datenlecks, um ihre Glaubwürdigkeit zu erhöhen und Zahlungen von Leuten zu erzwingen, die in Wirklichkeit gar nicht betroffen sind.“ Dies verwirre die Zuordnung, überfordere die Einsatzkräfte und untergrabe das Vertrauen in die Berichterstattung über Cyberattacken. „Eine Ära der Fake-Hacks bricht an, in der die Wahrnehmung genauso schädlich sein kann wie die Realität!“

Die globale Bedrohung habe lokale Folgen: „Laut unserem ,External Risk Management (ERM) 2024 Annual Ransomware Report’ ergibt sich folgendes Lagebild:

• Die Vereinigten Staaten von Amerika blieben mit 50,2 Prozent aller Fälle das am häufigsten betroffene Land.
• In Indien stieg die Zahl der Ransomware-Angriffe im Vergleich zum Vorjahr um 38 Prozent – angetrieben von der raschen Digitalisierung, der Einführung hybrider Arbeitsformen und Lücken in der Infrastruktur.
• Zu den am stärksten betroffenen Branchen gehören Unternehmensdienstleistungen, die verarbeitende Industrie und der Einzelhandel – Sektoren, die operativ empfindlich und oft nicht ausreichend vorbereitet sind.“

Abwehrmaßnahmen gegen moderne Ransomware

Eggerling hebt hervor: „Die Zeiten, in denen man sich ausschließlich auf Backups und Patch-Zyklen verlassen konnte, sind vorbei.“ Um den heutigen Ransomware-Akteuren zuvorzukommen, müssten Unternehmen ihre Verteidigung überdenken – fünf schnelle Maßnahmen für „CISOs“:

• „Zero Trust“ als Architektur: Einschränken von Querbewegungen, standardmäßig nichts und niemandem vertrauen und alles überprüfen.
• Härtung der Lieferkette: Kontinuierliche Prüfung der Risiken, die von Dritten ausgehen und stets bedenken, dass Partner Einfallstore sein können.
• Einsatz einer KI für die Cyberabwehr: KI-gestützte Bedrohungserkennung, SOC-Automatisierung und Echtzeit-Priorisierung nutzen, um Angriffen zuvorzukommen.
• Vorbereitung auf Datenerpressung: Alles an jedem Standort verschlüsseln und verstehen, was an Datensätzen wirklich sensibel ist. Den Ernstfall durchspielen.
• Anpassen an Cyberversicherung und „Compliance“: Sicherstellen, dass die Dokumentation und Kontrolle den jüngsten Standards entspricht, da die weltweiten Vorschriften und Anforderungen der Versicherungsgeber immer strenger werden.

Fazit: Ransomware mehr als nur ein technologisches Problem – ein Thema für die Vorstandsetage

Ransomware-Angriffe dauerten jetzt länger an, schlügen härter zu und hinterließen tiefere Narben. Ransomware sei nicht mehr nur ein technologisches Problem – „es ist ein Thema für die Vorstandsetage, denn es geht um betriebliche Kontinuität, Vertrauen und Widerstandsfähigkeit!“

Führungskräfte müssten Cybersicherheit genauso behandeln wie rechtliche Risiken oder finanzielle – als nicht verhandelbaren Teil der Geschäftstätigkeit. Zum Abschluss gibt Eggerling den Entscheidern zu bedenken: „Die Ransomware-Bedrohung ist weit über ihre Ursprünge aus dem Jahr 2017 hinaus gereift. Der ,Anti-Ransomware-Tag’ sollte daher dazu dienen, um sich einen Moment Zeit zu nehmen, über Schritte nachzudenken, die verhindern, dass man wegen einer künftigen Attacke in den Schlagzeilen der Zeitungen landet.“

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 22.04.2025
The State of Ransomware in the First Quarter of 2025: Record-Breaking 126% Spike in Public Extortion Cases

CHECK POINT, Cyberint, 2024
Ransomware Annual Report 2024

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

datensicherheit.de, 15.05.2017
Cyber-Angriff mit WannaCry: DsiN fordert mehr digitale Aufklärung / Vorfälle vom 12. Mai 2017 als „Weckruf“ für alle Akteure in Wirtschaft, Behörden und Gesellschaft