Die Bedrohung durch Ransomware meistern: Eine Frage der Resilienz

2025 war ein besonders erfolgreiches Jahr für Ransomware-Angriffe, und wir haben noch fünf Monate Zeit, bevor sich das Jahr dem Ende neigt. 🫠Einzelhändler im Vereinigten Königreich sind ebenso Opfer verheerender Ransomware-Angriffe geworden wie Gesundheitseinrichtungen im Raum Asien-Pazifik, Regierungen in Lateinamerika und Bildungssysteme in Nordamerika.

Ransomware bleibt für kriminelle Gruppierungen, Hacktivisten und Skiddies gleichermaßen ein hochgradig lukratives Geschäftsmodell – auch wenn sich ihre Motive stark unterscheiden. (Immerhin haben Ransomware-Gruppen allein mit TrickBot-Varianten Lösegelder in Höhe von insgesamt 724 Millionen US-Dollar in Kryptowährung erpresst. Ein echter Albtraum.)

Ohne schlechte Stimmung verbreiten zu wollen: Die Aussichten sind düster. Nicht nur, dass Ransomware-Gruppen verstärkt auf diversifizierte Erpressungsmethoden setzen, um an Geld zu kommen, sie suchen sich auch ihre Opfer immer gezielter aus, was ihre Erfolgsaussichten signifikant erhöht. Mehrere Gruppen können gleichzeitig ein einzelnes Unternehmen angreifen – und wenn Ihr Unternehmen global aufgestellt ist, kann auch die Bedrohung auch global sein.

Dazu kommt noch, dass die Gruppen sowohl in technologischer Hinsicht als auch beim Verstecken vor den Strafverfolgungsbehörden extrem intelligente Umgehungstaktiken einsetzen. Sich ständig ändernde Gruppennamen und Verbindungen machen es 🎶schwierig, sie aufzuhalten🎶.

Das echte R-Wort, auf das wir uns 2025 und darüber hinaus konzentrieren sollten, ist jedoch Resilienz. Der beste Weg, sich vor diesen Cyberkriminellen zu schützen, ist die Schaffung einer Kultur der Resilienz. Dafür müssen wir flexibel bleiben und uns auf die schnelle Erkennung und Abwehr von Bedrohungen und die umgehende Behebung von entstandenen Schäden konzentrieren.

Die durchschnittliche Anzahl der Ausfalltage nach einem erfolgreichen Ransomware-Angriff beträgt nicht weniger als 21 Tage. Das ist lang genug, um der Wirtschaftlichkeit und dem Ruf eines Unternehmens schweren Schaden zuzufügen – und wenn das Opfer eine Gesundheitsorganisation ist, stehen im Zweifel sogar Menschenleben auf dem Spiel.

Wir empfehlen dringend, den gesamten Bericht zu lesen. Aber wenn Sie jetzt gerade wirklich in Eile sind, finden Sie im Folgenden eine kurze Zusammenfassung der wichtigsten Punkte aus dem SOTI-Bericht.

Angreifer nutzen KI und große Sprachmodelle (Large Language Models, LLMs), um die Größe, Raffinesse und Effizienz von Angriffen zu erhöhen. Ransomware-Gruppen wie FunkSec und Advanced Persistent Threat-Gruppen wie Forest Blizzard und Emerald Sleet setzen auf GenKI, um eine Vielzahl von Taktiken automatisiert anzuwenden – von der Erstellung von schädlichem Code und überzeugenden Phishing-E-Mails über die Durchführung von Vishing-Angriffen, bei denen Mitarbeiter des Unternehmens imitiert werden, bis hin zum Einsatz von Chatbots, die mit den Opfern verhandeln.

Durch neue Tools wie WormGPT, DarkGPT und FraudGPT wird der Einstieg erheblich vereinfacht, sodass selbst Amateure leichter Angriffe starten können.

Angreifer geben sich heute nicht mehr mit einfachen Erpressungen zufrieden, bei denen ein Lösegeld verlangt wird, um die gestohlenen Daten wieder freizugeben. Stattdessen wird der Druck durch zwei-, drei- oder sogar vierstufige Erpressungstaktiken erhöht, bei denen damit gedroht wird, Kundendaten offenzulegen, den Betrieb durch DDoS-Angriffe lahmzulegen oder Nachrichten an Geschäftspartner, Kunden und Medien zu senden und diese über den Sicherheitsvorfall zu informieren.

Ein aktueller Trend unter Ransomware-Angreifern ist es, Compliance-Vorschriften als Waffe einzusetzen. Immer häufiger werden Unternehmen mit der Offenlegung von Sicherheitsverstößen oder vertraulichen Informationen bedroht, was Geldstrafen zur Folge haben kann, die weitaus höher wären als die geforderten Lösegelder.

Ransomware as a Service (RaaS) hat sich seit den frühen Tagen von REvil und Ryuk enorm weiterentwickelt. Die Einführung von RaaS war eine Revolution für das Ransomware-Geschäft, denn die technischen Zugangshürden wurden drastisch gesenkt, wodurch jetzt auch Laien in der Lage sind, erfolgreiche Angriffe zu koordinieren.

Einige Ransomware-Gruppen lassen die Grenzen zwischen Hacktivismus und Profitinteressen verschwimmen. Diese hybriden Gruppen nutzen RaaS-Plattformen nicht nur, um finanziellen Gewinn zu erwirtschaften, sondern auch, um ideologische oder politische Ziele voranzutreiben.

Gruppen wie Stormous, DragonForce, KillSec, CyberVolk und Dragon RaaS weltweit schwerwiegende Angriffe auf private Unternehmen, staatliche Institutionen und kritische Infrastruktur durchgeführt.

Der SOTI-Bericht enthält auch Schwerpunkte zu speziellen Sicherheitsthemen, bei denen die Akamai-Sicherheitsexperten Or Zuckerman, Maor Dahan und James Casey wichtige Themen genauer unter die Lupe nehmen. Diese Schwerpunkte umfassen unter anderem:

• Wizard Spider (auch bekannt als TrickBot), eine finanziell motivierte Gruppe von Cyberkriminellen, die es auf kritische Infrastruktur, darunter auch Gesundheitssysteme, abgesehen hat und Verbindungen zu russischen Geheimdiensten unterhält.

• Kryptomining-Malware oder Kryptojacker, die die Ressourcen des Opfers heimlich missbrauchen, um durch das „Schürfen“ von Kryptowährungen Gewinne zu erzielen. Kryptomining macht inzwischen einen bedeutenden Teil der weltweiten Cyberkriminalität aus.

• Ransomware und Gesetzgebung, genauer gesagt die Bemühungen von Gesetzgebern und Regulierungsbehörden bei der Schaffung von rechtlichen Rahmenbedingungen, um den Herausforderungen durch sich schnell entwickelnde Ransomware-Strategien zu begegnen. Dazu gehören auch rechtliche Ansätze, um die Zahlung von Lösegeld zu vermeiden.

Die Cyberversicherungenprämien steigen drastisch an, ebenso wie die Häufigkeit von Audits der Cybersicherheitsfunktionen von Unternehmen. Daher müssen Unternehmen Strategien entwickeln, um Ransomware-Resilienz aufzubauen. Dazu gehören auch Pläne für Worst-Case-Szenarien, die klare Richtlinien und Strategien zur Verhandlung und Durchführung von Ransomware-Zahlungen umfassen.

Kriminelle Ransomware ist eine dynamische Angelegenheit, und der Schutz vor dieser Bedrohung erfordert die gleiche Agilität. Um sich selbst zu schützen, müssen Unternehmen ihre Cyberresilienz neu definieren und praktische Framworks implementieren, um einen umfassenden Schutz zu erreichen. Das Verständnis für Ransomware-Bedrohungen ist ein wichtiger erster Schritt in diesem Prozess.