Vor diesen Ransomware-Banden sollten Sie sich hüten

In den ersten drei Monaten des laufenden Jahres gab es einen neuen Höchststand bei den weltweit gemeldeten Ransomware-Vorfällen. Laut dem aktuellen Bericht State of Ransomware von Check Point Research (CPR) haben Hacker im ersten Quartal 2025 insgesamt 2.289 Unternehmen erpresst – 126 Prozent mehr als im Vorjahreszeitraum (1.011 Fälle) und der höchste je gemessene Wert. 

Checkpoint

Ransomware-Angriffe bildeten nach wie vor eine der hartnäckigsten und schädlichsten Cyber-Bedrohungen für Unternehmen weltweit, so die Einschätzung der Security-Experten. 74 verschiedene Ransomware-Banden hätten öffentlich Opfer auf Data Leak Sites (DLS) bloßgestellt. Für Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, geht es um mehr als die reinen Zahlen. Der Anstieg der Ransomware sei ein Signal. 

Ransomware-Attacken auf deutsche Unternehmen:

• Ransomware-Attacke auf SMC Europa
• Deutscher IT-Dienstleister im Visier von Ransomware-Angreifern
• Ransomware-Attacke auf Willms Fleisch
• Grohe AG von Ransomware-Attacke betroffen

„Dieser Trend deutet auf intelligentere, schnellere und schwerer zu verfolgende Kampagnen sowie Gruppen hin, die versuchen, die Gesellschaft zu sabotieren und zu manipulieren“, sagte Shykevich. „KI-Tools, gefälschte Opferbehauptungen und regional zugeschnittene Taktiken zeigen, dass Unternehmen über reaktive Abwehrmaßnahmen hinausgehen und präventive, informationsgestützte Sicherheit einführen müssen.“ 

Ransomware-Erpresser – mehr Poser und Angeber?

Allerdings steht hinter den Zahlen auch ein Fragezeichen. Die Sicherheitsforscher verweisen auf einen wachsenden Trend, dass die Cyber-Erpresser das Ausmaß ihrer Angriffe möglicherweise übertrieben, einschließlich der Fälschung von Opferdaten, um eine größere Reichweite vorzutäuschen und potenzielle künftige Ziele einzuschüchtern. Dazu komme, dass Unternehmen, die schnell Lösegeld zahlten, in der Regel von der Veröffentlichung auf Leak-Sites ausgeschlossen sind. Das deute darauf hin, dass in der Vergangenheit veröffentlichte Zahlen das wahre Ausmaß von Ransomware-Vorfällen deutlich unterrepräsentiert haben könnten. 

Check Point

Das sind die Kernergebnisse des State-of-Ransomware-Reports: 

• Die aktivsten Ransomware-Gruppen im ersten Quartal 2025 geordnet nach öffentlich bekannt gemachten Opfern waren Cl0p, Ransomhub und Babuk-Bjorka. 
• In Deutschland war zuletzt die Safepay-Ransomware-Bande am aktivsten. Unter den 74 Ransomware-Opfern, die im ersten Quartal 2025 in Deutschland gemeldet wurden, gingen 24 Prozent auf das Konto von Safepay. 
• Grundsätzlich scheinen einige Ransomware-Gruppen deutliche geografische Präferenzen zu entwickeln. In Großbritannien zum Beispiel ist die Medusa-Bande überproportional aktiv – sie ist auf der Insel für mehr als neun Prozent der gemeldeten Opfer verantwortlich, verglichen mit nur zwei Prozent der Opfer weltweit. 
• Wie in den Vorjahren entfiel etwa die Hälfte aller gemeldeten Opfer auf die USA. Insgesamt stammen die meisten öffentlich gelisteten Opfer nach wie vor aus westlichen Industrienationen. Der Grund: Hier verfügen Organisationen über größere finanzielle Ressourcen, was wiederum die Wahrscheinlichkeit erhöht, dass sie das Lösegeld zahlen. 

Check Point

Das waren in den ersten drei Monaten des Jahres die aktivsten Ransomware-Banden: 

CIOp

Mit 392 öffentlich genannten Opfern war Cl0p im ersten Quartal 2025 der aktivste Ransomware-Akteur weltweit. Die Hacker setzen auf Datenexfiltration und -erpressung. Dafür nutzt CIOp Zero-Day-Schwachstellen in weit verbreiteten Plattformen von Drittanbietern, um Dienstleister zu kompromittieren und anschließend auf die Daten von deren Kunden zuzugreifen. 

Nach früheren Kampagnen mit großer Wirkung, wie GoAnywhere Anfang 2023 und MOVEit Mitte 2023, kompromittierte Cl0p im laufenden Jahr hauptsächlich die von Cleo verwalteten Dateiübertragungsprodukte Harmony, VLTrader und LexiCom. 

Die geografische Verteilung der Cl0p-Opfer zeigt eine auffällige Konzentration in Nordamerika: 83 Prozent der Opfer stammen aus den USA und Kanada, gefolgt von Großbritannien und Deutschland. Aus Branchenperspektive stammen überproportional viele Opfer von Cl0p aus dem Sektor Konsumgüter und Dienstleistungen (33 Prozent) und dem Bereich Transport und Logistik (12 Prozent). 

RansomHub

Die Cyber-Erpresser tauchten im Februar 2024 auf und haben sich mittlerweile als eine der dominierenden Ransomware-Gruppen positioniert. 228 Opfer gingen allein im ersten Quartal 2025 laut öffentlicher Bekanntgabe auf deren Konto. Der rasche Aufstieg von RansomHub ist wohl auch auf die Unterbrechung der Operationen von LockBit durch die Strafverfolgungsbehörden Anfang 2024 zurückzuführen. Die Hacker füllten das Vakuum, das eine der etabliertesten Ransomware-as-a-Service- (RaaS-)Gruppen hinterlassen hat. 

RansomHub zeichnet sich vor allem auch durch eine aggressive Strategie zur Anwerbung von Partnern und ein damit verbundenes günstiges Gewinnbeteiligungsmodell aus. Die Verteilung der Opfer spiegelt die allgemeinen Trends wider: Auf Unternehmen mit Sitz in den USA entfallen etwa 59 Prozent der gemeldeten Fälle. 

Babuk-Bjorka

Die Cyber-Bande tauchte Anfang des Jahres auf und belegte im ersten Quartal 2025 mit 167 gemeldeten Opfern den dritten Platz. Babuk-Bjorka positioniert sich selbst als Reinkarnation der ursprünglichen Babuk-Ransomware-Operateure, die ihre Aktivitäten 2021 einstellten, nachdem ihr Quellcode geleakt worden war. Einen Beleg für diese Verbindung gibt es indes nicht. Experten mutmaßen, dass der neue Akteur den Namen Babuk nutzt, um Medienaufmerksamkeit zu erregen und Partner im Rahmen eines RaaS-Modells anzuziehen. 

FunkSec

Die Ransomware-Bande trat erstmals im Dezember 2024 in Erscheinung. Seit ihrem Auftauchen hat die Gruppe mehr als 170 Angriffe für sich reklamiert, wobei die Glaubwürdigkeit dieser Behauptungen ungewiss bleibt. Untersuchungen von Check Point Research legen nahe, dass die Malware von FunkSec wahrscheinlich mit Hilfe von KI-Tools entwickelt wurde. Das erlaubt es, den Schadcode auch ohne fortgeschrittene technische Kenntnisse anzupassen und zu verfeinern. 

Dieser Einsatz von KI senkt die Einstiegshürde für Cyber-Kriminelle erheblich und ermöglicht den Einsatz ausgefeiter Ransomware durch relativ unerfahrene Personen, berichten die Security-Experten. Grundsätzlich sei die Einordnung von FunkSec allerdings schwierig, weil die Gruppe an der Schnittstelle zwischen Hacktivismus und finanziell motivierter Kriminalität operiere. Das mache es schwierig, die zugrunde liegenden Motive zuverlässig zu bewerten, hieß es. 

Check Point