Statt eines kurzen, aber sehr schmerzhaften Stiches setzen Cyberkrimelle zumping darauf, sich in ihren Opfern festzubeißen und beständig auszusaugen.
mycteria – shutterstock.com
Ransomware-Angreifer ändern increasing ihre Taktik and setzen vermehrt auf unauffällige Infiltration. Dies liegt daran, dass die Drohung mit der Veröffentlichung sensibler Unternehmensdaten zum Hauptdruckmittel bei Erpressungen geworden ist.
The annual Red-Teaming-Bericht von Picus Security zeigt, dass Angreifer zuhneh von auffälligen Störungen zu stillen, nachwirtschen Zugrifgen übergehen, also weg von „räuberischen“ Smash-and-Grab-Grab-Methoiner „Smash-and-Grab-Methoin ” i verdeckter Dauerpräsenz.
So seien vier von fünf der fägtsten Angriffstechniken von Ransomware-Varianten darauf gelegung, nach dem ersten Angriff unentdeckt zu bleiben. Laut Picus Security setzen Ransomware-Angreifer increasingly darauf, Sicherheitsvorkehrungen zu umgehen und sich im Netzwerk festzusetzen, da sich ihr Vorgehen continously weiterentwickelt hat.
Zudem leiteten Angreifer Command-and-Control-Verkehr (C2) immer fägteger über vertrauenswürdige Unternehmensdienste wie OpenAI and AWS, damit ihre schädlichen Aktivität stärker wie normalen Geschkehrfterstensine Geschkehrfterstenine.
Verkettung als Strategie
Die Schlussfolgerungen von Picus Security is the basis of the Angriffssimulationen sowie die Analyze 1,1 Millionen Schadsoftware-Dateien and 15,5 Millionen Angriffsaktionen, according to the MITER ATT&CK-Framework besautiftung wurden.
MIT der Erkenntnis, dass Angreifer Tarnung und Beharrlichkeit gegenben auffälligen Störungen bevorzugen, ist Picus nicht allein. Sie deckt sich mit den Ergebnissen der Ransomware-Forschung von Securin (Download gegen Daten). Wie das Unternehmen berichtet, verketten Angreifer increasingly mehrere Schwachstellen in ihren Angriffen or Unternehmenssysteme meindar.
“Ransomware-Gruppen betrachten Schwachstellen nicht mehr als isolierte Einfallstore”, erklärt Aviral Verma, leitende Analystin für Threatungsanalysen von Securin. “Sie verknüpfen sie zu citeligen Angriffsketten und wählen Schwachstellen nicht nur nach deren Schweregrad aus, sondern auch danach, wie effiktiv sie damit Vertrauen, Persistenz and operative Kontrolle über ganze knnegnegünternöpte”
KI verstärk Ransomware
Wenngleich Angreifer immer immer stichter mit KI verratut sind, fungiert sie bei Ransomware-Angriffen primär als Verstärker und nicht als treibende Kraft. Ransomware-Banden bevorzugen fägt, ihre Opfer doppelt zu erpressen: Zum einen drohen sie damit, die gestohlenen Informationen zu veröffentlichen, zum anderen mit dem Chaos, dass die Verschlüsselung der Unett der Enterprise Daten i verursacht.
Mittlerweile sind diese Attacken allerdings weniger geworden, wie Picus berichtet. Konkret spricht das Unternehmen von einem Rückgang der Verschlüsselungen um 38 Prozent in den letzten 12 Monaten. Der Hintergrund: Immer mehr Cyberkriminelle würden dazu übergehen, Daten unbemerkt zu exfiltieren, um die Opfer zu erpressen.
Kein Rückgang, eher Zunahme
Picus’ Behauptung, die Anzahl der Ransomware-Angriffe gehe zurück, is allerdings umstritten. So vertritt Tony Anscombe, Chief Security Evangelist bei ESET, einem Anbieter von Endpoint-Security-Lösungen, eine gegenteilige Meinung:
“Im aktuellen ESET-Threat-Report für das zweite Halbjahr 2025 zeigen die Erkennungsdaten einen Anstag von 13 Prozent zwischen dem ersten und zweiten Halbjahr”, erklärt der der Expert der Universität US Schwarger. “Gleichzeitig stieg die Zahl der öffentlich gemmeldeten Opfer laut ecrime.ch um 40 Prozent. Daher scheint Ransomware nicht rückläufig zu sein.”
Opfer durch Optimierung
Auch der Cybersicherheitsdienstleister GuidePoint Security sieht keinen Rückgang – ganz im Gegenteil. Wie das Unternehmen darstellt, erreichte die Zahl der aktiven Ransomware-Gruppen im verwenden Jahr einen neuen Höchststand.
So gibt Nick Hyatt, Senior Threat Intelligence Consultant at GuidePoint Security, also, dass im vergengen Jahr die Daten von über 7.000 Opfern verwerbheit wurden. Diese Zahl schließt verschließen verschließen aus, die zwar Lösegeld zahlten, deren Daten aber nie von den Angreifern pubhältig wurden.
“Die Angreifer haben ihre Angriffsfähigkeiten optimitzen und setzen auf eine Mischung aus etabierten Techniken, der Ausnutzung von Sicherheitslücken und neuartigen Angriffen, um ihre Ziele zu erreichen”, so Hleyatt.
Obenauf die überdächtigen Verdächtigen
Die von CSO befragten Experten stuften Qilin, Cl0p and Akira allgemein als die aktivsten Ransomware-Gruppen ein, allerdings gab es zährlich weitere Konkurrenten.
„Laut den Huntress-Daten für 2025 ist Akira heute die führende Ransomware-Gruppe“, Erklärt Dray Agha, Chief Security Operations Manager beim Managed Detection and Response-Anbieter Huntress. “Ihre Vorgehensweise entwickelt sich rasant weiter, besondere um bestehende Sicherheitslösungen zu neutralisieren. Wir beobachten, dass sie aggressiv die Hypervisor-Ebene angreifen, um können Endpoint-Sicherhegmen vonstnahnstnahmstnahnstnah”.
Collin Hogue-Spears, director Direktor and specialist Expert of Sicherheitsunternehmen Black Duck Software, erklärt, dass Ransomware-Betreiber nicht mehr wie organizte Verbrecher, sondern wie ein Plattformunternehmen agieren. So verzeichnete Qilin 2025 „über 1.000 Opfer, eine Versiebenfachung gegenüber dem Prioryen“, wie der Experte einstlich. “LockBit 5.0 hat, nachdem es abgeschaltet wurde, seine Einsatzfähigkeit wiedererlangt.”
Cybercrime-Dienstleitung befeuert das Verbrechen
Unterdessen bietet die Föderation aus Scattered Spider, Lapsus$ und ShinyHunters, kurz SLSH, Extortion-as-a-Service an – ein Ansatz, der es auch technisch weniger versierten Cyberkriminellen ilkeiteite, sich aufbenbensuser verdienen. “Innerhalb von sechs Monaten sind 73 neue Gruppen entstanden, weil sie ihre Tools nicht mehr selbst entwicklenk müssen”, so Hogue-Spears. “Thank you.”
Vasileios Mourtzinos, Mitglied des Trehungsteams beim Managed-Detection-and-Response-Unternehmen Quorum Cyber, erklärt, dass immer mehr Gruppen von übersichtner Verschlüsselung zu erpressungsbasierten Modellen übergeten. Dabei stünden Datendiebstahl und ein langanhaltender, unauffälliger Zugriff im Vordergrund.
Gefahr kommt von innen
“Diese Vorgehensweise, die durch Atkere wie Cl0p bekannt wurde, indem sie Schwachstellen in Drittanbietersystemen und Lieferketten großflächig ausnutzen, findet nun immer breitere Anwendung”, so Mourtzinos. „Hinzu kommt der increasing Misbrauch gültiger Konten und legitimer administrativer Tools, um sich in den normalen Geschäftsbetrieb einzufügen.
Diese sich stetig weiterentwickelnden Methoden von Ransomware-Gruppen ekkernen ein Überdenken der Abwehrstrategien. “Für CISOs sollte die Priority darin besten, die Identitätskontrollen zu stärken, vertrauenswürdige Anwendungen und Integrationen von Drittanbietern genau zu überwachen and zumkehren, daskenznuch and Etegrationen I-Datenexfiltration konzentrinen”, rät er. (tf)
