Ransomware-Aktivitäten: Änderungen in Taktik und Motivation

Ransomware-Analyse von Dragos Operative Sabotage statt reiner Erpressung

07.02.2025 Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

Die Sicherheitsexperten des Herstellers Dragos haben weltweite Ransomware-Aktivitäten des Q3 2024 untersucht. Dabei zeigte sich, dass Kriminelle sowohl ihre Taktiken wie auch ihre Motivation verändern.

Das Spiel der Cyberkriminellen verändert sich: Ransomware wird anpassungsfähiger und heimtückischer und auch die Motivation der Akteure wandelt sich.(Bild: Dall-E / KI-generiert) — Das Spiel der Cyberkriminellen verändert sich: Ransomware wird anpassungsfähiger und heimtückischer und auch die Motivation der Akteure wandelt sich.
(Bild: Dall-E / KI-generiert)

Im dritten Quartal 2024 haben Ransomware-Angriffe Deutschland besonders zugesetzt. Der „Industrial Ransomware Analyse Q3 2024“ von Dragos zufolge war Deutschland sogar eines der am stärksten betroffenen Länder in ganz Europa. Besonders betroffen waren die Branchen Fertigung, Transport und Technologie. Diese Entwicklung deute auf einen besorgniserregenden Trend hin: Cyberkriminelle attackieren gezielt Industrienationen und kritische Infrastrukturen.

Ransomware-Angriffe auf Industrieunternehmen verdoppeln sich gegenüber dem ersten Quartal 2024 trotz internationaler Erfolge im Kampf gegen Cybercrime-Gruppen wie Lockbit. (Bild: zephyr_p - stock.adobe.com)

1. Nordamerika verzeichnete im Q3 2024 mit 304 Attacken, die Dragos beobachtete, die meisten Ransomware-Vorfälle, was etwa 55 Prozent der weltweiten Aktivitäten mit Verschlüsselung und Erpressung ausmachte. Die meisten davon zielten auf die USA und Kanada ab, wobei sich die Cyberkriminellen auch hier auf kritische Sektoren wie Fertigung, Versorgungswirtschaft und das Gesundheitswesen konzentrierten.

2. Mit 119 Vorfällen war Europa, was circa 22 Prozent der weltweiten Ransomware-Angriffe widerspiegelte. Das Vereinigte Königreich und Italien gehörten laut Dragos neben Deutschland zu den am stärksten betroffenen Ländern.

3. In Asien gab es im dritten Quartal des vergangenen Jahres 66 Ransomware-Vorfälle, was etwa zwölf Prozent der weltweiten Aktivitäten dieser Art waren. Brasilien und Argentinien waren dort die Hauptziele, wobei Regierungsoperationen und Transportsysteme im Fokus der Akteure waren.

4. 18 Ransomware-Vorfälle und somit drei Prozent der weltweiten Aktivitäten fanden im Nahen Osten statt.

5. Ozeanien hatte zwölf Vorfälle und somit zwei Prozent der weltweiten Ransomware-Vorfälle zu verzeichnen. Dort waren Neuseeland und Australien und die dortigen Sektoren Technologie, Bildung und das Gesundheitswesen die Hauptziele.

6. In Afrika verzeichnete Dragos acht Ransomware-Vorfälle, was weltweit etwa 1,5 Prozent der Vorfälle waren.

„Wer Opfer von Ransomware wird, sollte auf keinen Fall Lösegeld bezahlen“, sagt Felix Kuhlenkamp, Referent Sicherheitspolitik beim Bitkom. (Bild: vchalup - stock.adobe.com)

Betriebsausfälle als Folge von Ransomware

Laut Dragos würden Ransomware-Angriffe in Deutschland einem breiteren europäischen Muster folgen, bei dem die Cyberkriminellen Sektoren mit einer geringen Toleranz für Betriebsausfälle in den Fokus nehmen. Zwar konnten die Analysten keine direkten Angriffe auf OT-Assets (Operational Technology) beobachten, dennoch hätten Ausfallzeiten durch Ransomware in IT-Umgebungen schwerwiegende Störungen industrieller Prozesse verursacht. Diese Störungen habe zu finanziellen Verlusten, Produktionsverzögerungen und Sicherheitsrisiken geführt, die durch die Vernetzung von IT- und OT-Systemen weiter verstärkt wurden.

Die Sorge vor Extremwettern, Naturkatastrophen und daraus resultierenden Betriebsunterbrechungen steigt in Unternehmen – hinsichtlich des Klimawandels zurecht. (Bild: rfassets - stock.adobe.com)

Neue und alte Ransomware-Gruppen

Zudem stellten die Experten von Dragos fest, dass sowohl neue wie auch etablierte Ransomware-Gruppen neuartige Taktiken, Techniken und Verfahren (TTPs) einsetzten, um unentdeckt zu bleiben und ihre Wirkung zu maximieren.

RansomHub dominiert: Als aktivste Ransomware-Gruppe im dritten Quartal 2024 wurde RansomHub mit 90 Vorfällen weltweit identifiziert. Die Gruppe richtete sich aggressiv gegen Industrieunternehmen.

Lockbit3.0 startet neu: Obwohl Lockbit den Analysen nach für 78 Vorfälle im dritten Quartal 2024 verantwortlich war, verlor die Gruppe aufgrund von Strafverfolgungsmaßnahmen an Einfluss. Viele ihrer Mitglieder wechselten zu anderen Gruppen.

Aufstrebende Akteure: Erst kürzlich beobachtete Gruppen wie Eldorado und Play konzentrierten sich Dragos zufolge auf Schwachstellen in virtuellen Netzwerkanwendungen und Remote-Diensten. Dabei nutzten sie Tools, die auf kritische Umgebungen zugeschnitten sind.

Schwachstellen in VPN-Anwendungen und Fernzugriffssystemen auszunutzen ist laut Dragos eine zunehmende Taktik. Zudem würden Kriminelle Exploits oft mit Angriffen auf Zugangsdaten kombinieren, um die Multifaktor-Authentifizierung zu umgehen. Etwa 30 Prozent der Ransomware-Vorfälle seien im Q3 2024 im Zusammenhang mit Schwachstellen in VPN-Appliances oder schlecht verwalteten Anmeldeinformationen gestanden.

Während neue Ransomware-Gruppen entstehen, würden sich zeitgleich bestehende Banden weiter anpassen. So beobachtete Dragos einen Übergang einiger Akteure von reiner Erpressung hin zu operativer Sabotage. Statt nur durch finanzielle Aspekte angetrieben, sieht Dragos auch eine ideologische Motivation der Ransomware-Akteure.

75 Prozent der deutschen Ransomware-Opfer entscheiden sich für eine Lösegeldzahlung. Das ist der niedrigste Wert im internationalen Vergleich, der Durchschnittswert liegt bei 78 Prozent. (Bild: Dall-E / KI-generiert)

(ID:50301065)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.