Ransomware-Angriffe nehmen zweistellig zu

Zwar seien grosse Ransomware-Netzwerke lahmgelegt worden, wie etwa Lockbit durch die Operation Cronos der Polizeibehörden im Februar 2024 (dabei wurden 34 Server weltweit sichergestellt, darunter in Deutschland, den Niederlanden und den Vereinigten Staaten). Doch an ihre Stelle traten andere Banden, wie Ransomhub, die dezentralisierter vorgehen. Ransomhub allein war laut Report für 531 Attacken im letzten Jahr verantwortlich. Tatsächlich seien den Sicherheitsforschern 46 neue Ransomware-Banden aufgefallen, wodurch die Zahl der bekannten, aktiven Gruppen auf 95 steige, was einem Anstieg um 40 Prozent gegenüber 2023 mit 68 Gruppen entspreche.

In Europa allgemein und in Deutschland insbesondere sei die Zahl der Zwischenfälle im Jahresvergleich zwar gesunken, was die Sicherheitsforscher auf strengere gesetzliche Vorgaben und stärkere Sicherheitsmassnahmen zurückführen, doch insgesamt stehe Deutschland immer noch auf Platz 4 der am meisten attackierten Länder, wenn man das vierte Quartal 2024 betrachte.

Das Gesundheitswesen rückte gemäss der Studie ebenfalls stark ins Fadenkreuz. Dort werden Patientendaten gestohlen und manchmal zusätzlich verschlüsselt, um die Verantwortlichen zu erpressen. Das produzierende Gewerbe wurde derweil zu einem bevorzugten Ziel des Jahres mit 35 Prozent Anteil an den weltweiten Attacken, was Platz 3 bedeute. Auf Platz 1 stehen Business Services mit 451 Attacken, was 24,1 Prozent aller Angriffe ausmache.

Zudem bewegen sich viele Ransomware-Gruppen weg vom Verschlüsseln, hin zum reinen Datenklau samt Erpressung, um durch diese geringeren Aktivitäten der Entdeckung durch Sicherheitslösungen besser entgehen zu können, wie der Report weiters belegt. Dadurch fiel die Rate der Zahlungen von Lösegeld wegen Verschlüsselung auf 32 Prozent im dritten Quartal 2024, verglichen mit 75 Prozent im Jahr 2019. Die Rate der Zahlungen nach Datenklau und Erpressung bleibe dagegen konstant bei rund 35 Prozent.

Ransomware-as-a-Service (RaaS) wird der Check-Point-Untersuchung zufolge auch immer beliebter. Hierbei vermieten Hacker-Banden ihre Schadprogramme gegen eine Provision an unerfahrenere Kriminelle. Bei Ransomhub bedeute das: 90 Prozent des Lösegeldes behält der Mieter, 10 Prozent gehen an die Betreiber. Um hierbei von etablierten Dark-Net-Plattformen für RaaS unabhängiger zu werden, nutzen die Ransomware-Banden zunehmend durchgesickerten Code offizieller Programme, um einzigartige Ransomware-Programmierungen zu entwickeln.

Omer Dembinsky, Data Research Group Manager bei Check Point, ordnet die Studie so ein: "Jedes Jahr wird die Ransomware-Landschaft komplizierter. Während die Strafverfolgungsbehörden grössere Ransomware-as-a-Service-(RaaS)-Gruppen erfolgreich zerschlagen haben, sind 2024 neue Gruppen aufgetaucht. Ausserdem bringt die Verlagerung von der verschlüsselungsbasierten Erpressung zur Datendiebstahlserpressung neue Herausforderungen mit sich. Eines bleibt jedoch gleich: die Notwendigkeit, den Datenschutz, die Überwachung und die schnelle Erkennung von Bedrohungen den Gegebenheiten anzupassen und zu verbessern, denn so, wie sich Ransomware verändert, muss auch die Verteidigung umgebaut werden. Die zunehmende Komplexität dieser Angriffe erfordert einen integrierten Ansatz für die Cyber-Sicherheit. Einen Ansatz, der Technologie, Intelligenz und Zusammenarbeit in der globalen Sicherheitsgemeinschaft kombiniert.

Insgesamt leiten die Sicherheitsforscher von Check Point für das Jahr 2025 folgende Trends ab:
- Mehr Raffinesse: Hacker werden künstliche Intelligenz (KI) stark integrieren und Zero-Day-Schwachstellen ausnutzen, um die Effektivität ihrer Angriffe zu erhöhen.
- Aufstrebende Banden: Die Zersplitterung der alten Ransomware-Gruppen wird wahrscheinlich zu neuen, professionalisierten Akteuren führen.
- Fokus auf kritische Infrastrukturen: Hochwertige Branchen, wie Energie, Gesundheitswesen und Produktion, werden erhöhten Risiken ausgesetzt sein.