Ransomware 2025: Statistiken, Trends & Wichtige Vorfälle | Gridinsoft
Gridinsoft Logo

Ransomware 2025: Statistiken, Trends & Wichtige Vorfälle

By Brendan Smith, Cybersicherheitsanalyst bei Gridinsoft (15+ Jahre in der Malware-Forschung)
Last updated: December 03, 2025

Vollständige Analyse der Ransomware-Landschaft im Jahr 2025, einschließlich aktueller Statistiken (4.701 Vorfälle), aufkommender Trends (KI-generierte Angriffe, dreifache Erpressung), Angriffstaktiken, Zeitplan der wichtigsten Vorfälle und Schutzstrategien.

  • Springen zu:
» Ransomware
Was ist Ransomware?

Was ist Ransomware?

Es ist wahrscheinlich der schlimmste Albtraum, festzustellen, dass Dateien auf Ihrem PC verschlüsselt sind. Sie haben Ihre E-Mails überprüft und auf die angehängten Dateien geklickt, um zu sehen, was sie enthalten. Die seltsame Datei, die nichts weiter tat, als anzubieten, Makros zu aktivieren, sah nicht verdächtig aus. Aber plötzlich, weniger als 15 Minuten nachdem Sie dieses Dokument geöffnet haben, sehen Sie, dass alle Dateien auf Ihrem PC seltsame Erweiterungen haben und sich in jedem Ordner mindestens eine readme.txt-Datei befindet. Wie ist das passiert?

Die kurze Definition von Ransomware verbirgt sich in ihrem Namen, genau wie bei vielen anderen Viren. „Ransom Software“ (Lösegeld-Software) ist ein Programm, das in Ihren Computer eindringt, Ihre Dateien verschlüsselt und Sie dann auffordert, Lösegeld zu zahlen, um Ihre Dateien zurückzubekommen. Einige Beispiele von Ransomware können ihren Opfern drohen, ihre Dateien zu löschen oder sensible Daten zu veröffentlichen, wenn sie das Lösegeld nicht zahlen. Während die erste Drohung zu 100 % eine Lüge ist, kann die zweite These real sein, da Ransomware oft zusammen mit Spyware oder Stealern verbreitet wird.

Für jedes Opfer generiert Ransomware einen einzigartigen Online-Schlüssel. Dieser Schlüssel wird auf dem Server gespeichert, der von Cyberkriminellen unterhalten wird. Wenn der Virus keine Verbindung zu diesem Server herstellen kann, verschlüsselt er die Dateien mit dem Offline-Schlüssel, der lokal auf dem verschlüsselten Computer gespeichert ist. Die Anzahl der Offline-Schlüssel ist begrenzt. Daher haben Sie einen Entschlüsselungsschlüssel mit mehreren anderen Opfern gemeinsam.

Leider gibt es keine 100%ige Garantie, Ihre Dateien zurückzubekommen. Wenn Sie Glück haben und die Ransomware den Offline-Schlüssel verwendet, können Sie Ihre Daten viel schneller entschlüsseln. Dennoch ist das Erhalten von Schlüsseln recht langwierig, und Sie müssen möglicherweise mehrere Wochen warten. Die Entschlüsselungs-App, die für die Dateientschlüsselung verwendet werden soll, erhält das Update mit dem Schlüssel, der zu Ihnen passt, sobald Analysten ihn finden.

Online-Schlüssel sind viel schwieriger zu lösen. Da jeder dieser Schlüssel einzigartig ist, müssen Sie möglicherweise Monate warten. Ransomware-Verteiler werden wahrscheinlich gefasst und gezwungen, alle Schlüssel aufzudecken, die sie auf den Servern haben. Ein weiterer Fall, in dem alle Schlüssel der Öffentlichkeit zugänglich gemacht werden, ist, wenn Ransomware-Ersteller beschließen, ihre böswillige Aktivität einzustellen. Eine solche Situation gab es nur einmal – im Jahr 2018, als die Entwickler von GandCrab behaupteten, sie hätten 2 Milliarden Dollar verdient und ihre Aktivität eingestellt.

Ransomware im Jahr 2025: Statistiken & Überblick

Die Bedrohungslandschaft durch Ransomware hat im Jahr 2025 ein beispielloses Niveau an Raffinesse und Auswirkungen erreicht. Basierend auf einer umfassenden Analyse von Vorfällen von Januar bis September 2025 beobachtet die Cybersicherheits-Community eine dramatische Eskalation sowohl in der Häufigkeit als auch in der Schwere von Ransomware-Angriffen.

Wichtige Statistiken (Januar–September 2025)

  • 4.701 Vorfälle weltweit gemeldet (+46% im Vergleich zum gleichen Zeitraum 2024)
  • 2.332 Angriffe (50%) zielten auf kritische Infrastrukturen ab (+34% im Jahresvergleich)
  • Die Vereinigten Staaten machen 21% aller globalen Fälle aus, gefolgt von Kanada (8%) und dem Vereinigten Königreich (6%)
  • 2 Millionen Dollar durchschnittliche Lösegeldforderung (gestiegen von 400.000 Dollar im Jahr 2023)
  • 1,53 Millionen Dollar durchschnittliche Wiederherstellungskosten ohne Lösegeldzahlung (–44% gegenüber 2024)
  • Nur 40% der Opfer schalteten die Strafverfolgungsbehörden ein (runter von 52% im Jahr 2024)
  • 49% der Opfer mit verschlüsselten Daten zahlten das Lösegeld (runter von 70% im Jahr 2024)
Ransomware-Angriffsvektoren - 2025 Schwachstellen-Exploits (32%) Gestohlene Zugangsdaten (23%) Phishing-E-Mails (18%) Andere Vektoren (27%) Quelle: Bright Defense Ransomware-Statistiken 2025

Das Ransomware-Ökosystem hat sich 2025 erheblich weiterentwickelt, wobei Bedrohungsakteure zunehmend aggressive und technologisch fortschrittliche Taktiken anwenden. Hier sind die wichtigsten Trends, die die aktuelle Bedrohungslandschaft prägen:

Trend Details
Zielgerichtete Angriffe auf kritische Infrastrukturen Der Fertigungssektor verzeichnete einen Anstieg der Angriffe um +61%, wobei auch das Gesundheitswesen, Energie, Transport und Finanzen ein signifikantes Wachstum verzeichneten. Diese Sektoren sind aufgrund der betrieblichen Dringlichkeit und der höheren Zahlungsbereitschaft bevorzugte Ziele.
Beschleunigte Verschlüsselung Die mittlere Zeit vom ersten Eindringen bis zur Ransomware-Bereitstellung ist auf nur 5 Tage gesunken (zuvor 11 Tage). Einige Gruppen können Systeme innerhalb von Stunden nach dem Zugriff verschlüsseln.
Dreifache Erpressung 87% der Angriffe kombinieren jetzt Datenverschlüsselung mit Exfiltrationsdrohungen, DDoS-Angriffen und direkter Belästigung von Mitarbeitern und ihren Familien durch Telefonanrufe und SMS-Nachrichten.
KI-gestützte Angriffe Gruppen wie Black Basta und FunkSec nutzen Large Language Models (LLMs), um ausgefeilte Phishing-E-Mails zu generieren und die Exploit-Entwicklung zu automatisieren, wodurch Angriffe überzeugender und schwerer zu erkennen sind.
Ausnutzung der Lieferkette Die Clop-Ransomware-Gruppe nutzte Zero-Day-Schwachstellen in der Oracle E-Business Suite aus und betraf große Organisationen wie Cox Enterprises und das Dartmouth College durch Kompromittierung der Lieferkette.
Waffenfähigmachung legitimer Tools Remote Management und Monitoring (RMM) Tools wie TeamViewer und AnyDesk werden für gleichzeitigen physischen Frachtdiebstahl und Ransomware-Bereitstellung missbraucht, wobei traditionelle Sicherheitskontrollen umgangen werden.
Rückläufige Lösegeldzahlungen Nur 49% der Opfer mit verschlüsselten Daten entschieden sich 2025 für eine Lösegeldzahlung, gegenüber 70% im Jahr 2024, da Unternehmen bessere Backup-Strategien anwenden und sich weigern, kriminelle Unternehmen zu finanzieren.
Mittlere Verweildauer 5 Tage Zeit vom ersten Eindringen bis zur Verschlüsselung.
Doppelte Erpressung 87% Angriffe mit Datendiebstahl und Dateiverschlüsselung.
Dreifache Erpressung 29% Fügt DDoS-Angriffe oder Kundenbelästigung hinzu.
Ø Lösegeldforderung $2,73 Mio. Signifikanter Anstieg von 2 Mio. $ Anfang 2025.
Reaktionsfenster 4 Min. Verzögerung zwischen Verschlüsselung und Lösegeldforderung.
Datenexfiltration 1,2 TB Sensible Daten in unter 3 Stunden gestohlen.

Angriffstaktiken & Eintrittsvektoren

Zu verstehen, wie Ransomware-Betreiber Erstzugang erhalten und ihre Angriffe ausführen, ist entscheidend für die Entwicklung effektiver Abwehrmaßnahmen. Im Jahr 2025 setzen Angreifer eine ausgefeilte Mischung aus technischen Exploits und Social Engineering ein.

Primäre Eintrittsvektoren

  • 32% — Ausnutzung von Schwachstellen (ungepatchte VPN-Appliances, veraltete Content-Management-Systeme)
  • 23% — Gestohlene Zugangsdaten (erhalten über Info-Stealer und Phishing-Kampagnen)
  • 18% — Phishing-E-Mails (gestiegen von 11% im Jahr 2024, was verbesserte KI-generierte Inhalte widerspiegelt)
  • Living-off-the-Land (LotL) Techniken — Missbrauch integrierter Windows-Dienstprogramme und BYOVD (Bring Your Own Vulnerable Driver), um Endpoint Detection and Response (EDR) Lösungen zu deaktivieren
  • Angriffe über legitime Tools — Ausnutzung von RMM-Lösungen und Cloud-Speicherdiensten (OneDrive, Dropbox) für die Ransomware-Bereitstellung ohne traditionelle Malware-Binärdateien

Fortschrittliche Taktiken im Jahr 2025

Taktik Beschreibung Bedrohungsgruppen
Zero-Day-Exploits in Unternehmens-ERP Angriffe auf Schwachstellen in der Oracle E-Business Suite und anderen Enterprise-Resource-Planning-Systemen, um ganze Unternehmensnetzwerke zu kompromittieren und sensible Daten zu exfiltrieren. Clop
Voice Phishing mit KI-Stimmenklonen Telefonanrufe, die IT-Support-Mitarbeiter imitieren und synthetische Stimmengenerierung nutzen, um Mitarbeiter zur Herausgabe von Multi-Faktor-Authentifizierungs (MFA)-Codes und Zugangsdaten zu bewegen. Scattered Spider
KI-gestützte Phishing-Kampagnen Erstellung hochpersonalisierter und kontextrelevanter Phishing-E-Mails und bösartiger Anhänge unter Verwendung von ChatGPT-ähnlichen Diensten, was die Erfolgsquoten drastisch verbessert. Black Basta, FunkSec
DDoS-Erpressung Gleichzeitige Distributed-Denial-of-Service-Angriffe auf die Infrastruktur des Opfers, um den Druck zu erhöhen und die Lösegeldzahlung während Verschlüsselungsereignissen zu beschleunigen. LockBit 4.0
Mitarbeiterbelästigung Direkte Drohungen per SMS und Telefonanrufen an Mitarbeiter und ihre Familien, Veröffentlichung von Privatadressen und anderen persönlichen Informationen, um Organisationen zur Zahlung zu zwingen. Mehrere Gruppen

Wichtige Ransomware-Vorfälle im Jahr 2025

2025 gab es mehrere hochkarätige Ransomware-Angriffe, die kritische Infrastrukturen, Gesundheitssysteme, Bildungseinrichtungen und große Unternehmen weltweit betrafen. Der folgende Zeitplan hebt die wichtigsten Vorfälle hervor:

Datum Organisation / Land Bedrohungsgruppe Auswirkung & Lösegeldforderung
24. Januar Big Cheese Studio (Polen) 0mid16B Quellcode-Leck mit 25.000 $ Lösegeldforderung
27. Jan – 6. Feb Episource LLC (USA) Nicht offengelegt 5,4 Millionen medizinische Datensätze offengelegt; Verletzung geschützter Gesundheitsinformationen (PHI)
Januar Sunflower Medical Group (USA) Rhysida 220.968 medizinische Patientenakten kompromittiert; 800.000 $ Lösegeld
Januar Grundbuchamt (Slowakei) Nicht offengelegt Immobilientransaktionen für 2 Wochen lahmgelegt
Januar DEphoto (Großbritannien) 0mid16B 555.000 Kunden + 16.000 Zahlungskarten kompromittiert; Kinderfotos offengelegt
23. März Kuala Lumpur Int. Airport (Malaysia) Qilin Gepäck- und Boardingsysteme für 10+ Stunden offline; 10 Millionen $ Lösegeldforderung
April NASCAR (USA) Medusa Sozialversicherungsnummern von Fans geleakt; 4 Millionen $ Lösegeld
April DaVita Healthcare (USA) Interlock 20 TB Daten gestohlen, 2,7 Millionen Patienten betroffen; 13,5 Millionen $ Verlust
Juli Ingram Micro (Global) SafePay 3,5 TB Kundendatenleck; 136 Millionen $ Umsatzverlust pro Tag Ausfallzeit
August Maryland Transit Administration (USA) Rhysida Persönliche Mitarbeiterdaten offengelegt; 30 BTC (3,4 Millionen $) gefordert
26. November OnSolve / CodeRED (USA) Inc Notfallwarnsystem für 12+ Staaten kompromittiert; Kontaktinformationen geleakt
28. November Asahi (Japan) Qilin 1,5 Millionen Kunden betroffen; Brauereibetrieb gestoppt
28. November Upbit (Südkorea) Lazarus 30,4 Millionen $ in Kryptowährung gestohlen
Dezember PowerSchool (USA) Nicht offengelegt 62 Millionen Schülerdatensätze kompromittiert; wiederholte Erpressungsversuche gegen Schulbezirke

Geografische & Branchenverteilung

Ransomware-Angriffe im Jahr 2025 zeigen weiterhin deutliche geografische und sektorale Muster, wobei bestimmte Regionen und Branchen ein überproportionales Risiko tragen.

Geografische Verteilung (Januar–September 2025)

Region Anteil an globalen Vorfällen Am stärksten betroffene Branchen
Nordamerika 46% Fertigung, Gesundheitswesen, Bildung
Europa 24% Professionelle Dienstleistungen, Einzelhandel, Regierung
Asien-Pazifik 10% Finanzen, Logistik
Naher Osten & Afrika 4% Energie, Regierung
Globale Ransomware-Verteilung nach Region - 2025 Nordamerika 46% Europa 24% Andere Regionen 16% Asien-Pazifik 10% Naher Osten & Afrika 4% 0% 50% Quelle: Bright Defense Ransomware-Statistiken 2025

Am stärksten betroffene Branchen

  • Fertigung — 660 Angriffe
  • Immobilien — 553 Angriffe
  • Professionelle Dienstleistungen — 487 Angriffe
  • Gesundheitswesen — Signifikanter Anstieg aufgrund der kritischen Natur der Operationen
  • Energie & Transport — Ziele der kritischen Infrastruktur

Moderne Ransomware-Angriffsphasen – 2025

Der Lebenszyklus von Ransomware-Angriffen hat sich erheblich weiterentwickelt. Moderne Bedrohungsakteure operieren mit militärischer Präzision und folgen einem strukturierten Zeitplan, den Sicherheitsteams jagen und stören können. Das Verständnis dieser Phasen ist entscheidend für die Implementierung effektiver Abwehrmaßnahmen.

Phase 0 – Zielerfassung

Bevor ein technischer Angriff beginnt, führen Bedrohungsakteure umfangreiche Aufklärung und Zielauswahl durch:

  • KI-gesteuerte Aufklärung: Automatisierte Scan-Tools bewerten potenzielle Ziele nach „Pay-Score“ – Analyse von Unternehmensumsatz, Cyber-Versicherungsschutz, kritischen Operationen und Zahlungswahrscheinlichkeit basierend auf öffentlichen Finanzdaten und der Historie von Sicherheitsverletzungen.
  • Zugangserwerb: Kauf von kompromittierten VPN-Zugangsdaten, Outlook Web Access (OWA)-Konten, Citrix-Gateways oder Zero-Day-Exploits von Initial Access Brokers (IABs) auf Darknet-Märkten.

Phase 1 – Initialer Zugang

Etablierung einer dauerhaften Präsenz in der Zielumgebung:

  • Zustellungsvektoren: Phishing-Kampagnen, SEO-vergiftete gefälschte Software-Updates, per Post zugestellte USB-Laufwerke oder direkte Ausnutzung von internetseitigen Schwachstellen.
  • Ausführungstechniken: Living-off-the-Land-Binärdateien (LOLBAS), PowerShell-Verschleierung, legitime Systemtools, die für böswillige Zwecke missbraucht werden. Implantate sind leichte Loader, um der Erkennung zu entgehen.
  • Persistenzmechanismen: Geplante Aufgaben, Gruppenrichtlinienobjekte (GPO), Cloud-Automatisierungs-Runbooks oder WMI-Ereignisabonnements, um Neustarts zu überleben und den Zugriff aufrechtzuerhalten.

Phase 2 – Interne Ausbreitung

Die mittlere Verweildauer im Jahr 2025 beträgt nur 5 Tage vom ersten Zugriff bis zur Verschlüsselungsbereitstellung:

  • Command & Control (C2): CDN-gestützter HTTPS-Verkehr, Domain-Fronting über legitime Cloud-Dienste (Azure, CloudFlare) oder Edge-Computing-Ressourcen, um sich in den normalen Verkehr einzufügen.
  • Entdeckungsoperationen: Active Directory-Mapping, Inventarisierung von Backup-Systemen (kritisch für Sabotage), Cloud-IAM-Aufklärung und Identifizierung von Kronjuwelen-Datenbeständen.
  • Privilegieneskalation: Kerberoasting-Angriffe, Ausnutzung von Active Directory Certificate Services (ADCS), Token-Replay-Angriffe oder Zero-Day-Exploits zur Privilegieneskalation.
  • Laterale Bewegung: RDP-Verbindungen, PowerShell-Remoting (PS-Remoting) oder waffenfähige Remote-Management- und Monitoring-Tools (RMM) wie TeamViewer, AnyDesk und ScreenConnect.

Phase 3 – Vorbereitung vor dem Einschlag

Kritische Sabotagephase, die darauf ausgelegt ist, maximalen Schaden zu verursachen und die Wiederherstellung zu verhindern:

  • Datenexfiltration: Mit Rclone, Mega.nz, IPFS oder benutzerdefinierten Tools exfiltrieren Angreifer durchschnittlich 1,2 TB sensibler Daten in weniger als 3 Stunden. Diese Daten werden zum Druckmittel für doppelte Erpressung.
  • Defensive Sabotage: Angreifer demontieren systematisch Wiederherstellungsoptionen, indem sie Volume Shadow Copies (VSS) löschen, VMware ESXi-Snapshots wipen und Backup-Kataloge zerstören. Sie deaktivieren auch aktiv Endpoint Detection and Response (EDR)-Agenten mithilfe von „Bring Your Own Vulnerable Driver“ (BYOVD)-Techniken, um Sicherheitsteams vor dem finalen Schlag zu blenden.

Phase 4 – Erpressung

Die letzte Phase, in der Lösegeldforderungen gestellt werden:

  • Schnelle Verschlüsselung: Vorgefertigte Verschlüsselungsschlüssel unter Verwendung von ChaCha20 + RSA-Algorithmen werden in weniger als 60 Sekunden im gesamten Netzwerk bereitgestellt. Moderne Ransomware kann 220.000 Dateien in 4,5 Minuten verschlüsseln.
  • Dreifaches Erpressungsmodell (29% der Angriffe 2025): Über das traditionelle Lösegeld für Entschlüsselungsschlüssel hinaus erhöhen Angreifer den Druck, indem sie drohen, gestohlene Daten auf Leak-Sites zu veröffentlichen (doppelte Erpressung) und Distributed-Denial-of-Service (DDoS)-Angriffe gegen die öffentliche Infrastruktur des Opfers zu starten (dreifache Erpressung), um die Zahlung zu erzwingen.
  • Aggressive Drucktaktiken: Live-Stream-Countdown-Timer, Spam an Kunden und Partner, Sprachanrufe an Führungskräfte mit KI-geklonten Stimmen, direkter Kontakt mit Kunden der Opfer unter Androhung von Datenveröffentlichung.
  • Verzögerung zwischen Verschlüsselung und Notiz: Durchschnittlich 4 Minuten zwischen Abschluss der Verschlüsselung und Zustellung der Lösegeldforderung, was ein minimales Reaktionsfenster lässt.

Kritische Jagd-Trigger für SOC-Teams

Security Operations Centers sollten auf diese hochgradig zuverlässigen Indikatoren für Ransomware-Aktivitäten achten:

  • JA3 TLS-Fingerabdruck-Anomalien: SSL/TLS-Verbindungen zu neu registrierten Domains (weniger als 24 Stunden alt), insbesondere mit ungewöhnlichen Cipher-Suites.
  • Verdächtige LDAP-Abfragen: LDAP-Abfragen für adminCount=1 (privilegierte Konten), die von nicht-administrativen Arbeitsstationen stammen – deutet auf Aufklärung für Privilegieneskalationsziele hin.
  • Rclone.exe Ausführung: Das legitime Cloud-Sync-Tool Rclone, das von SYSTEM gestartet wird oder mit verdächtigen Befehlszeilenargumenten läuft – ein gängiges Datenexfiltrations-Tool.
  • Dateioperationen mit hoher Entropie: Dateischreibvorgänge mit einer Entropie von mehr als 0,96 (was auf Verschlüsselung hinweist), die mehr als 100 Netzwerkfreigaben innerhalb von 5 Minuten betreffen – definitive Ransomware-Verschlüsselungsaktivität.
  • VSS-Löschbefehle: Ausführung von vssadmin delete shadows, wmic shadowcopy delete oder bcdedit /set {default} recoveryenabled no.
  • Missbrauch von RMM-Tools: Unerwartete Installation oder Ausführung von AnyDesk, TeamViewer, ScreenConnect von Systemkonten oder außerhalb der Geschäftszeiten.

Arten von Ransomware

Ransomware hat sich in mehrere unterschiedliche Kategorien entwickelt, jede mit einzigartigen Verhaltensweisen und Erpressungsmethoden. Das Verständnis dieser Arten ist entscheidend für die Identifizierung der Bedrohung:

1. Krypto-Ransomware (Verschlüsseler)

Verschlüsseler sind die häufigste und schädlichste Variante in der modernen Bedrohungslandschaft. Dieser Typ infiltriert ein System und verschlüsselt wertvolle Dateien (Dokumente, Fotos, Datenbanken) unter Verwendung militärischer Verschlüsselungsalgorithmen (wie AES-256 oder RSA-2048). Der Inhalt wird ohne den einzigartigen Entschlüsselungsschlüssel, der von den Angreifern gehalten wird, vollständig unzugänglich. Beispiele sind LockBit, Ryuk und WannaCry.

2. Locker

Locker verschlüsseln keine spezifischen Dateien, sondern sperren Sie stattdessen vollständig aus Ihrem Betriebssystem oder Ihrer Benutzeroberfläche aus. Eine Vollbild-Lösegeldforderung wird angezeigt, oft mit einem Countdown-Timer, um Dringlichkeit zu erzeugen. Während Ihre Dateien technisch intakt bleiben, sind sie unzugänglich, bis das System entsperrt ist. Dieser Typ war in früheren Ransomware-Wellen häufiger, tritt aber immer noch bei mobiler Malware auf.

3. Scareware

Scareware ist trügerische Software, die sich als legitimes Sicherheitstool ausgibt. Sie behauptet, nicht existierende Viren oder kritische Probleme auf Ihrem Computer entdeckt zu haben, und bombardiert Sie aggressiv mit Pop-up-Warnungen. Sie verlangt eine Zahlung für eine „Vollversion“, um diese gefälschten Probleme zu beheben. Einige aggressive Scareware kann den Computer sperren, während andere den Benutzer einfach nerven, bis er zahlt.

4. Doxware oder Leakware

Leakware (auch bekannt als Doxware) nutzt die Drohung der Datenoffenlegung anstelle von Datenverlust. Angreifer exfiltrieren sensible persönliche oder Unternehmensinformationen und drohen, sie öffentlich zu machen oder im Dark Web zu verkaufen, wenn kein Lösegeld gezahlt wird. Diese Taktik ist besonders effektiv gegen Unternehmen mit strengen Compliance-Anforderungen (DSGVO, HIPAA) oder Einzelpersonen mit sensiblen privaten Daten. Eine Variante ist Polizei-Ransomware, die sich als Strafverfolgungsbehörde ausgibt, dem Opfer illegale Aktivitäten vorwirft und ein „Bußgeld“ verlangt, um eine Verhaftung zu vermeiden.

5. RaaS (Ransomware as a Service)

Ransomware as a Service (RaaS) ist kein Malware-Typ, sondern ein Geschäftsmodell, das die moderne Ransomware-Wirtschaft antreibt. Professionelle Kernentwickler erstellen den Ransomware-Stamm und die Zahlungsinfrastruktur und vermieten sie dann an „Partner“ (weniger qualifizierte Hacker), die die eigentlichen Angriffe durchführen. Die Gewinne werden geteilt, wobei Partner typischerweise 70-80% und Entwickler den Rest behalten. Dieses Modell hat zu einer Explosion von Ransomware-Angriffen geführt, indem es die Eintrittsbarriere für Cyberkriminelle gesenkt hat.

Neueste Ransomware-Angriffe

Aktive Ransomware-Familien im Jahr 2025

Die folgenden Ransomware-Gruppen bleiben 2025 hochaktiv und sind für die Mehrheit der Angriffe auf Organisationen weltweit verantwortlich:

  • LockBit 4.0 — Trotz Störungen durch Strafverfolgungsbehörden im Jahr 2024 tauchte LockBit mit Version 4.0 wieder auf und integrierte DDoS-Erpressungstaktiken und schnellere Verschlüsselungsgeschwindigkeiten. Bleibt eine der produktivsten Ransomware-as-a-Service (RaaS)-Operationen, verantwortlich für zahlreiche Angriffe auf kritische Infrastrukturen im Jahr 2025.
  • Qilin (Agenda) — Hochentwickelte Gruppe, die auf kritische Infrastrukturen wie Flughäfen und das Gesundheitswesen abzielt. Verantwortlich für den Angriff auf den Flughafen Kuala Lumpur (März 2025, 10 Mio. $ Forderung) und die Störung der Asahi-Brauerei (November 2025). Verwendet Rust-basierte Verschlüsselung und konzentriert sich auf hochwertige Unternehmensziele.
  • Rhysida — Aktive RaaS-Operation, die auf Gesundheitswesen, Bildung und Regierungssektoren abzielt. Bemerkenswerte Angriffe im Jahr 2025 umfassen die Sunflower Medical Group (220.968 Patientenakten) und die Maryland Transit Administration (30 BTC/3,4 Mio. $ Lösegeld). Bekannt für dreifache Erpressung und Data-Leak-Site-Operationen.
  • Black Basta — Entstand aus der Auflösung von Conti und setzt KI-gestützte Phishing-Kampagnen unter Verwendung von Large Language Models (LLMs) ein, um überzeugende Social-Engineering-Angriffe zu erstellen. Konzentriert sich auf Unternehmensziele mit schnellen Bereitstellungszeiten und ausgefeilten Infiltrationsmethoden.
  • Akira — Eine der aktivsten Gruppen im Jahr 2025, die VPN-Schwachstellen ausnutzt und auf Fertigungs-, Gesundheits- und Finanzsektoren abzielt. Verwendet doppelte Erpressungstaktiken und unterhält eine aktive Leak-Site. Bekannt für das Ziel auf Cisco VPN- und Citrix-Schwachstellen.
  • Medusa — Verantwortlich für große Angriffe im Jahr 2025, einschließlich NASCAR (SSN-Datenleck, 4 Mio. $ Lösegeld). Betreibt ein RaaS-Modell mit Partnerpartnerschaften. Bemerkenswert für aggressive mehrstufige Erpressung, einschließlich direktem Kontakt mit Kunden und Partnern der Opfer.
  • Play — Zielt auf kritische Infrastrukturen und große Unternehmen ab und verwendet intermittierende Verschlüsselungstechniken, um der Erkennung zu entgehen. Aktiv im gesamten Jahr 2025 mit Angriffen auf Regierungsbehörden und Bildungseinrichtungen. Verwendet doppelte Erpressung mit dedizierter Leak-Site.
  • Cl0p (Clop) — Spezialist für Lieferketten- und Zero-Day-Exploits, insbesondere gegen Dateiübertragungsanwendungen und Unternehmens-ERP-Systeme. Verantwortlich für die Oracle E-Business Suite-Kampagne, die Cox Enterprises und das Dartmouth College betraf. Pionier bei Massen-Exploit-Taktiken für maximale Opferzahl.
  • ALPHV/BlackCat — Rust-basierte Ransomware, bekannt für Flexibilität und plattformübergreifende Fähigkeiten (Windows, Linux, ESXi). Setzt den Betrieb trotz Störungsversuchen des FBI fort. Verwendet dreifache Erpressung, einschließlich Anrufen bei Kunden und Partnern der Opfer. Bemerkenswert für ausgefeiltes Partnerprogramm.
  • Interlock — Verantwortlich für den Angriff auf DaVita Healthcare (April 2025, 2,7 Mio. Patienten, 13,5 Mio. $ Verluste). Zielt auf Gesundheitswesen und kritische Dienste mit schneller Verschlüsselung und umfassender Datenexfiltration vor der Verschlüsselungsbereitstellung ab.
  • RansomHub — Schnell wachsende RaaS-Operation, die Partner von stillgelegten Operationen anzog. Bekannt für schnelle Verschlüsselung und Multi-Plattform-Support. Zielt auf Organisationen in allen Sektoren ab, mit Schwerpunkt auf Datenexfiltration vor der Verschlüsselung.
  • Fog (Akira-Variante) — Nutzt ausgebeutete SonicWall-VPNs für den Erstzugang. Zielt auf Bildungs- und Gesundheitssektoren ab. Setzt doppelte Erpressung mit dedizierter Leak-Infrastruktur ein. Verwandt mit Akira-Operationen, operiert aber unabhängig.
  • Scattered Spider (0ktapus) — Hochentwickelte Gruppe, die Voice Phishing mit KI-generierten Deepfake-Stimmen verwendet, um MFA zu umgehen. Zielt auf Identitätsanbieter, Telekommunikation und Outsourcing-Unternehmen ab. Bekannt für Social-Engineering-Expertise und „Vishing“-Kampagnen.
  • 8Base — Extrem aktiv im gesamten Jahr 2025, zielt auf kleine bis mittlere Unternehmen ab. Verwendet doppelte Erpressung mit dedizierter Leak-Site. Es wird angenommen, dass Verbindungen zur REvil-Infrastruktur bestehen. Konzentriert sich auf schnelle Angriffe gegen weniger geschützte Organisationen.
  • Cactus — Verwendet gestohlene VPN-Zugangsdaten und nutzt Fortinet-Schwachstellen für den Erstzugang. Zielt auf Fertigungs-, Finanzdienstleistungs- und Technologiesektoren ab. Setzt ausgefeilte Verschlüsselung mit einzigartigen Datenexfiltrationsmethoden über SSH-Tunnel ein.

Stillgelegte Operationen: Conti (aufgelöst Mitte 2022), Avaddon (Stilllegung Mai 2021), Egregor (gestört 2021) und Hive (beschlagnahmt vom FBI 2023) sind nicht mehr aktiv, obwohl ihre Techniken und Mitglieder zu neueren, oben aufgeführten Operationen abgewandert sind.

Read also: PE32 Ransomware

Ist es eine Lösung, das Lösegeld zu zahlen?

Der Großteil der Einnahmen, die Ransomware-Entwickler erhalten, wird zur Finanzierung verschiedener illegaler Aktivitäten verwendet, wie Terrorismus, andere Malware-Verbreitungskampagnen, Drogenhandel und so weiter. Da alle Lösegeldzahlungen in Kryptowährungen erfolgen, gibt es keine Möglichkeit, die Identität der Gauner aufzudecken. E-Mail-Adressen können jedoch manchmal auf Ransomware-Verteiler im Nahen Osten hinweisen.

Wie Sie bereits schlussfolgern können, bedeutet das Zahlen des Lösegelds die Teilnahme an illegalen Aktivitäten. Natürlich wird Ihnen niemand die Finanzierung von Terrorismus vorwerfen. Aber es ist kein angenehmes Gefühl zu wissen, dass Geld, das Sie für ehrliche Arbeit erhalten, für Terrorismus oder Drogen ausgegeben wird. Oft zahlen selbst große Unternehmen, die mit der Veröffentlichung interner Daten erpresst werden, keinen Cent an diese Gauner.

Wie schützt man sich 2025 vor Ransomware?

Die sich entwickelnde Ransomware-Bedrohungslandschaft erfordert eine mehrschichtige Verteidigungsstrategie. Basierend auf der Analyse von Angriffen im Jahr 2025 sollten Organisationen und Einzelpersonen die folgenden umfassenden Schutzmaßnahmen umsetzen:

Wesentliche Sicherheitskontrollen

  • Zero-Trust-Architektur & Netzwerksegmentierung: Implementieren Sie Zero-Trust-Sicherheitsmodelle, die jede Zugriffsanfrage unabhängig von der Quelle verifizieren. Segmentieren Sie kritische Systeme und Daten, um laterale Bewegungen zu begrenzen, falls Angreifer den Perimeter durchbrechen.
  • Multi-Faktor-Authentifizierung (MFA) für alle Fernzugriffe: Fordern Sie MFA für alle VPN-Verbindungen, Remote Desktop Protocol (RDP) und Remote Management und Monitoring (RMM) Tools. Dies verhindert Angriffe auf Basis von Zugangsdaten, die 23% der Ransomware-Vorfälle ausmachen.
  • Zeitnahes Patch-Management: Priorisieren Sie das Patchen von internetseitigen Systemen, einschließlich VPN-Appliances, Unternehmens-ERP-Systemen (Oracle E-Business Suite, SAP) und Content-Management-Plattformen. 32% der Angriffe nutzen ungepatchte Schwachstellen aus.
  • Vierteljährliche Backup-Tests: Führen Sie regelmäßige Tests von Backup-Wiederherstellungsverfahren in isolierten Umgebungen durch. Stellen Sie sicher, dass Backups offline oder in unveränderlichem Speicher aufbewahrt werden, um zu verhindern, dass Ransomware sie verschlüsselt. Überprüfen Sie, ob die Wiederherstellungszeitziele (RTO) den Geschäftsanforderungen entsprechen.
  • Endpoint Detection and Response (EDR): Setzen Sie fortschrittliche EDR-Lösungen ein, die in der Lage sind, Living-off-the-Land (LotL)-Techniken und BYOVD (Bring Your Own Vulnerable Driver)-Angriffe zu erkennen, die versuchen, Sicherheitskontrollen zu deaktivieren.

Bewusstseinsschulung für Bedrohungen im Jahr 2025

  • Erkennung von KI-generiertem Phishing: Schulen Sie Mitarbeiter darin, ausgefeilte Phishing-Versuche zu erkennen, die von Large Language Models (LLMs) erstellt wurden. Betonen Sie die Überprüfung unerwarteter Anfragen, auch wenn E-Mails professionell geschrieben und kontextrelevant erscheinen.
  • Verifizierungsprotokolle für Sprachanrufe: Etablieren Sie Verfahren, die Mitarbeiter verpflichten, Sprachanrufe, die vorgeben, vom IT-Support zu stammen, über unabhängige Kanäle zu verifizieren. KI-Stimmenklonen macht telefonbasiertes Social Engineering zunehmend überzeugend.
  • Vorsicht bei Makros und Anhängen: Verstärken Sie weiterhin das Bewusstsein für E-Mail-Anhänge, insbesondere Microsoft Office-Dateien, die die Aktivierung von Makros anfordern. Obwohl es ein traditioneller Vektor ist, bleibt E-Mail ein primärer Angriffseintrittspunkt (18% der Vorfälle).

Fortschrittliche Schutzmaßnahmen

  • Deaktivieren unnötiger RDP-Exposition: Schließen Sie externe RDP-Ports und fordern Sie VPN-Zugang an, bevor Sie Remotedesktopverbindungen zulassen. Überwachen und begrenzen Sie die RDP-Nutzung nur auf essenzielles Personal.
  • Anwendungs-Whitelisting: Implementieren Sie Anwendungskontrollrichtlinien, die nur die Ausführung genehmigter Software zulassen und verhindern, dass nicht autorisierte Ransomware-Binärdateien ausgeführt werden.
  • E-Mail-Sicherheits-Gateways: Setzen Sie fortschrittliche E-Mail-Filter ein, die KI-generierte Phishing-Inhalte erkennen und verdächtige Anhänge in einer Sandbox prüfen können, bevor sie in die Posteingänge der Benutzer gelangen.
  • Notfallreaktionsplanung: Entwickeln und testen Sie regelmäßig Notfallreaktionspläne speziell für Ransomware-Szenarien. Schließen Sie Verfahren zur Isolierung infizierter Systeme, Aktivierung von Backups und Einbeziehung von Strafverfolgungsbehörden und Cybersicherheitsexperten ein.

Anti-Malware-Schutz

Normalerweise aktualisieren Anti-Malware-Programme ihre Erkennungsdatenbanken jeden Tag. GridinSoft Anti-Malware kann Ihnen stündliche Updates anbieten, was die Wahrscheinlichkeit verringert, dass ein völlig neues Ransomware-Sample Ihr System infiltriert. Die Verwendung von Anti-Malware-Software ist jedoch kein Allheilmittel. Es wäre am besten, wenn Sie an allen riskanten Orten vorsichtig wären. Diese sind:

  • E-Mail-Nachrichten. Die meisten Ransomware-Fälle, unabhängig von der Familie, stehen im Zusammenhang mit bösartigen E-Mail-Nachrichten. Menschen vertrauen oft allen Nachrichten, die per E-Mail gesendet werden, und denken nicht, dass sich in der angehängten Datei etwas Bösartiges befinden könnte. Inzwischen nutzen Cyber-Einbrecher diese Schwäche und ködern Menschen, Makros in Microsoft Office-Dateien zu aktivieren. Makros sind eine spezielle Anwendung, die eine erhöhte Interaktion mit dem Dokument ermöglicht. Sie können alles in Visual Basic konstruieren und als Makros zum Dokument hinzufügen. Gauner fügen ohne weiteres Nachdenken Ransomware-Code hinzu.
  • Zweifelhafte Dienstprogramme und nicht vertrauenswürdige Programme. Sie sehen möglicherweise verschiedene Ratschläge beim Surfen im Internet. Online-Foren, soziale Netzwerke und Seeding-Netzwerke – diese Orte sind als Quellen für verschiedene spezifische Tools bekannt. Und an solcher Software ist nichts Schlechtes – manchmal benötigen Menschen Funktionen, die für die Unternehmensproduktion nicht gefragt (oder akzeptiert) sind. Solche Tools sind sogenannte Keygens für verschiedene Apps, Lizenzschlüssel-Aktivatoren (KMS Activator ist einer der bekanntesten) und Dienstprogramme zur Systemanpassung. Die meisten Anti-Malware-Engines erkennen diese Anwendungen als bösartig, sodass Sie wahrscheinlich das Antivirus deaktivieren oder die App zur Whitelist hinzufügen werden. Inzwischen kann dieses Dienstprogramm sauber oder mit Trojanern oder Ransomware infiziert sein.

Häufig gestellte Fragen

Was ist Ransomware und wie funktioniert sie im Jahr 2025?
Ransomware ist bösartige Software, die Dateien auf den Geräten der Opfer verschlüsselt und Lösegeldzahlungen für Entschlüsselungsschlüssel verlangt. Im Jahr 2025 hat sich Ransomware weiterentwickelt und umfasst nun dreifache Erpressungstaktiken (Verschlüsselung + Datendiebstahl + DDoS-Angriffe), KI-gestütztes Phishing und schnellere Bereitstellungszeiten (Median 5 Tage vom Eindringen bis zur Verschlüsselung). Moderne Ransomware verwendet AES-256- oder RSA-2048-Verschlüsselung und generiert für jedes Opfer einzigartige Online-Schlüssel, die ohne den Entschlüsselungsschlüssel des Angreifers praktisch unmöglich zu knacken sind.
Kann sich Ransomware über WLAN oder Netzwerkverbindungen verbreiten?
Ja, Ransomware kann sich über Netzwerkverbindungen verbreiten, jedoch nicht über WLAN selbst. In Unternehmensumgebungen erlangen Angreifer Administratorrechte und setzen Ransomware gleichzeitig auf allen vernetzten Computern ein. Die Malware verbreitet sich über freigegebene Netzwerkverzeichnisse und nutzt Techniken zur lateralen Bewegung. Heimanwender können jedoch in der Regel nicht infiziert werden, ohne den Angreifern zuvor durch Phishing, bösartige Downloads oder ausgenutzte Schwachstellen Zugriff auf ihr Gerät zu gewähren.
Sollte ich das Lösegeld zahlen, wenn meine Dateien verschlüsselt sind?
Sicherheitsexperten und Strafverfolgungsbehörden raten dringend davon ab, Lösegeld zu zahlen. Im Jahr 2025 zahlten nur 49% der Opfer Lösegeld (runter von 70% im Jahr 2024), da sie erkannten, dass eine Zahlung keine Garantie für die Wiederherstellung von Dateien ist und kriminelle Operationen einschließlich Terrorismus und Drogenhandel finanziert. Zudem markiert Sie eine Zahlung als profitables Ziel für zukünftige Angriffe. Melden Sie den Vorfall stattdessen den Strafverfolgungsbehörden, konsultieren Sie Cybersicherheitsexperten und versuchen Sie eine Wiederherstellung aus Backups. Organisationen mit geeigneten Backup-Strategien können sich ohne Zahlung erholen, mit durchschnittlichen Wiederherstellungskosten von 1,53 Millionen Dollar gegenüber durchschnittlichen Lösegeldforderungen von 2 Millionen Dollar.
Was sind die häufigsten Wege, wie Ransomware Systeme im Jahr 2025 infiziert?
Im Jahr 2025 sind die primären Infektionsvektoren: (1) Ausnutzung von Schwachstellen (32% der Angriffe), die auf ungepatchte VPN-Appliances, veraltete CMS und ERP-Systeme wie Oracle E-Business Suite abzielen; (2) Gestohlene Zugangsdaten (23%), die durch Info-Stealer und Phishing erlangt wurden; (3) Phishing-E-Mails (18%, gestiegen von 11% im Jahr 2024) unter Verwendung von KI-generierten Inhalten, die sehr legitim wirken; (4) Angriffe auf die Lieferkette, die Softwareanbieter und Managed Service Provider ausnutzen; (5) Waffenfähigmachung legitimer RMM-Tools wie TeamViewer und AnyDesk. Moderne Angriffe nutzen auch Voice Phishing mit KI-Stimmenklonen, um Mitarbeiter zur Herausgabe von MFA-Codes zu verleiten.
Wie kann ich meinen Computer im Jahr 2025 vor Ransomware schützen?
Wesentliche Schutzmaßnahmen umfassen: (1) Implementierung einer Zero-Trust-Architektur mit Netzwerksegmentierung zur Begrenzung lateraler Bewegungen; (2) Aktivierung der Multi-Faktor-Authentifizierung (MFA) an allen VPN-, RDP- und RMM-Zugangspunkten; (3) Aufrechterhaltung eines zeitnahen Patch-Managements, insbesondere für internetseitige Systeme und ERP-Plattformen; (4) Durchführung vierteljährlicher Backup-Tests mit Offline- oder unveränderlichem Speicher; (5) Einsatz von Endpoint Detection and Response (EDR)-Lösungen, die in der Lage sind, Living-off-the-Land-Techniken zu erkennen; (6) Schulung von Mitarbeitern zur Erkennung von KI-generiertem Phishing und Etablierung von Verifizierungsprotokollen für Sprachanrufe zur Bekämpfung von Deepfake-Angriffen; (7) Deaktivierung unnötiger RDP-Exposition und Nutzung von Anwendungs-Whitelisting; (8) Aktualisierung von Anti-Malware-Software mit stündlichen Signatur-Updates, wenn möglich.
Ist Ransomware ein Verbrechen und sollte ich es den Behörden melden?
Ja, Ransomware ist ein schweres Cyberverbrechen, das nach Bundes- und Landesgesetzen strafbar ist. Das Erstellen, Verbreiten von Ransomware und das Kassieren von Lösegeldzahlungen stellen Straftaten dar. Sie sollten Ransomware-Angriffe den Strafverfolgungsbehörden melden, obwohl dies im Jahr 2025 nur 40% der Opfer taten (runter von 52% im Jahr 2024). In den Vereinigten Staaten melden Sie sich beim Internet Crime Complaint Center (IC3) des FBI oder beim örtlichen FBI-Büro. Sie können sich auch an die Cybersecurity and Infrastructure Security Agency (CISA) wenden. Internationale Opfer sollten sich an ihre nationalen Einheiten für Cyberkriminalität wenden. Meldungen helfen den Strafverfolgungsbehörden, Bedrohungsakteure zu verfolgen, möglicherweise Entschlüsselungsschlüssel wiederherzustellen und kriminelle Operationen zu stören.
Sind moderne Windows-Systeme anfällig für Ransomware?
Alle Windows-Versionen bleiben anfällig für Ransomware-Angriffe, obwohl Windows 11 verbesserte Sicherheitsfunktionen wie einen verstärkten Windows Defender, hardwarebasierte Isolation und verbesserte Sicherheit in sensiblen Systemkomponenten enthält. Ransomware-Entwickler entwickeln ihre Taktiken jedoch ständig weiter. Im Jahr 2025 stießen 47% der Windows-Benutzer auf Adware oder potenziell unerwünschte Programme, und Ransomware-Angriffe stiegen im Jahresvergleich um 46%. Die Anfälligkeit resultiert typischerweise aus Benutzerverhalten (Klicken auf Phishing-Links, Aktivieren von Makros), ungepatchten Systemen (32% der Angriffe nutzen Schwachstellen aus) und gestohlenen Zugangsdaten (23% der Angriffe) und nicht aus inhärenten Windows-Schwächen. Kein Betriebssystem ist immun – angemessene Sicherheitspraktiken und mehrschichtige Verteidigung sind unerlässlich.
Was ist dreifache Erpressungs-Ransomware?
Dreifache Erpressungs-Ransomware, die in 87% der Angriffe im Jahr 2025 vorkommt, kombiniert drei Drucktaktiken: (1) Traditionelle Dateiverschlüsselung mit Lösegeldforderung für die Entschlüsselung; (2) Datenexfiltration mit Drohungen, gestohlene sensible Informationen auf Leak-Sites zu veröffentlichen; (3) Zusätzliche Angriffe wie DDoS-Überflutung der Unternehmensinfrastruktur, Telefonbelästigung von Mitarbeitern und ihren Familien oder SMS-Drohungen. Einige Gruppen fordern auch „Entschädigung für Betriebsunterbrechungen“ für verursachte Ausfallzeiten. Dieser mehrgleisige Ansatz erhöht den Druck auf die Opfer zu zahlen und hat sich für Bedrohungsakteure als sehr effektiv erwiesen, obwohl er die Zahlungsraten nicht erhöht hat, da Organisationen ihre Backup-Strategien und Widerstandsfähigkeit verbessern.
Können durch Ransomware verschlüsselte Dateien kostenlos entschlüsselt werden?
Manchmal, aber es gibt keine Garantie. Kostenlose Entschlüsselung ist möglich, wenn: (1) Ransomware einen Offline-Verschlüsselungsschlüssel verwendet hat (der von mehreren Opfern geteilt wird), den Sicherheitsforscher schließlich knacken könnten; (2) Strafverfolgungsbehörden die Betreiber verhaften und Entschlüsselungsschlüssel von ihren Servern beschlagnahmen; (3) Die Ransomware-Bande Schlüssel freiwillig veröffentlicht (selten, wie GandCrab im Jahr 2018); (4) Sicherheitsforscher Fehler in der Verschlüsselungsimplementierung entdecken. Moderne Ransomware, die einzigartige Online-Schlüssel mit AES-256- oder RSA-2048-Verschlüsselung verwendet, ist jedoch ohne den Schlüssel des Angreifers praktisch unknackbar. Überprüfen Sie Ressourcen wie das No More Ransom Project auf verfügbare Entschlüsseler. Die Wartezeit auf Entschlüsselungsschlüssel kann von Wochen bis Monaten reichen oder nie enden, was Präventions- und Backup-Strategien weitaus zuverlässiger macht als das Hoffen auf kostenlose Entschlüsselung.
Was waren die größten Ransomware-Angriffe im Jahr 2025?
Zu den wichtigsten Vorfällen im Jahr 2025 gehören: PowerSchool (Dezember) mit 62 Millionen betroffenen Schülerdatensätzen und wiederholten Erpressungsversuchen; Upbit (November) mit 30,4 Millionen Dollar Kryptowährungsdiebstahl durch die Lazarus-Gruppe; Asahi Brewery (November) mit 1,5 Millionen betroffenen Kunden und Betriebsstopp; OnSolve/CodeRED (November) mit Kompromittierung von Notfallwarnsystemen für 12+ US-Bundesstaaten; Maryland Transit Administration (August) mit einer Forderung von 30 BTC (3,4 Millionen Dollar); Ingram Micro (Juli) mit 136 Millionen Dollar Umsatzverlust pro Tag und 3,5 TB Datenleck; DaVita Healthcare (April) mit 2,7 Millionen betroffenen Patienten und 13,5 Millionen Dollar Verlusten; NASCAR (April) mit Leck von Sozialversicherungsnummern von Fans für 4 Millionen Dollar Lösegeld; Kuala Lumpur Airport (März) mit 10+ Stunden Ausfall und 10 Millionen Dollar Forderung. Diese Vorfälle zeigen die Entwicklung von Ransomware hin zu kritischen Infrastrukturen und hochwertigen Zielen.

References