Ransomware-Trends Q1 2025 So verändern neue Ransomware-Taktiken die Cyberabwehr

Anbieter zum Thema

Palo Alto Networks (Germany) GmbH

Fsas Technologies GmbH

Ransomware-Angriffe setzen zunehmend auf psychologische Täuschung, staatliche Akteure und breitere Angriffsflächen wie Cloud-Umgebungen und Insider. Unit 42, das Threat-Intelligence-Team von Palo Alto Networks, zeigt aktuelle Angriffstrends, enthüllt gefährliche Strategien und gibt Security-Verantwortlichen entscheidende Hinweise, wie Unternehmen ihre Abwehr effektiv anpassen müssen.

Immer mehr Unternehmen erkennen Cyberangriffe frühzeitig und können Angreifer im Netzwerk bereits stoppen, bevor größerer Schaden entsteht. Trotzdem bleibt die Zahl erfolgreicher Ransomware-Vorfälle hoch. Unit 42 beobachtet dabei eine zunehmende Aggressivität der Angreifer sowie neue Taktiken, um Unternehmen unter Druck zu setzen und höhere Zahlungen zu erzwingen. In ihrem Global Incident Response Report 2025 zeigen die Experten, dass in 86 Prozent der Fälle Ransomware-Angriffe zu spürbaren Störungen im Geschäftsbetrieb führten. Ein weiterer Bericht von Unit 42 analysiert die wichtigsten Ransomware-Trends im ersten Quartal 2025.

Täuschung statt Technik

Nicht jeder Erpressungsversuch beginnt mit einem erfolgreichen IT-Angriff. Immer häufiger versuchen Bedrohungsakteure, Unternehmen mit falschen oder veralteten Informationen unter Druck zu setzen. Beispielsweise erhielten mehrere Führungskräfte im März 2025 Drohbriefe vom angeblichen Absender BianLian, einer Ransomware-Gruppe. Allerdings konnten die Vorfälle nicht mit einem tatsächlichen Angriff in Verbindung gebracht werden, was auf eine bewusste Täuschung hindeutet. Darüber hinaus nutzten einige Täter alte Datensätze aus früheren Angriffen, um Unternehmen erneut zu erpressen. Psychologischer Druck wird dabei immer häufiger als Angriffsstrategie eingesetzt. Ihr Ziel: Unsicherheit erzeugen und Zahlungen erzwingen – auch ohne neue Sicherheitsverletzung.

Verizon Data Breach Investigations Report 2025

Ransomware ist zur Plage geworden

Staatliche Akteure mischen mit

Im Oktober 2024 beobachtete Unit 42 erstmals, wie eine staatlich gesteuerte nordkoreanische Hackergruppe namens Jumpy Pisces mit einer Ransomware-Gruppe zusammenarbeitete. Die Gruppe nutzte bestehende Ransomware-Infrastruktur und agierte vermutlich als Zugangsbeschaffer für Fiddling Scorpius, die Play-Ransomware verbreitet. Seither fanden die Analysten weitere Hinweise auf ähnliche Aktivitäten nordkoreanischer Akteure. Im März 2025 setzte die Gruppe Moonstone Sleet Qilin-Ransomware bei mehreren Angriffen ein.

Breitere Angriffsflächen, mehr Risiko

Ransomware-Gruppen entwickeln ihre Methoden stetig weiter. Sie nutzen gezielt sogenannte EDR-Killer, um Sicherheitstools außer Kraft zu setzen und unbemerkt Daten zu verschlüsseln. In einem Fall konnte das Team der Unit 42 einen solchen Angriff stoppen und dabei wertvolle Erkenntnisse über Tools und Taktiken der Täter gewinnen. Gleichzeitig weiten Angreifer ihre Ziele aus – etwa auf Cloud-Umgebungen, virtuelle Server sowie Linux- und macOS-Systeme. Zunehmend rücken auch Insider in den Fokus, wie ein Bericht von Unit 42 zeigt: Besonders besorgniserregend sind nordkoreanische IT-Kräfte, die sich mit KI-generierten Identitäten Remote-Stellen in westlichen Unternehmen sichern. Nach ihrer Enttarnung setzen sie gestohlene Daten gezielt für Erpressungsversuche ein und gehen teilweise so weit, Quellcode zu veröffentlichen. Derlei Aktivitäten verbinden klassische Spionage mit kriminellen Geschäftsmodellen und erhöhen das Risiko für Unternehmen weltweit.

1. Halbjahr 2025

Die Top Malware in Deutschland

Ransomware bleibt vielseitig und hochgefährlich

Im ersten Quartal 2025 war RansomHub mit über 250 Vorfällen die aktivste Ransomware-Gruppe. Besonders häufig betroffen waren Unternehmen in den USA, Kanada, Großbritannien und Deutschland. Die Fertigungsindustrie bleibt dabei besonders anfällig – nicht nur wegen veralteter Systeme, sondern auch aufgrund der hohen Kosten, die selbst kurze Produktionsunterbrechungen verursachen.

Insgesamt zeigt sich ein klares Bild: Ransomware-Angriffe sind gezielter, professioneller und vielseitiger geworden. Technische Raffinesse und psychologischer Druck werden gezielt für politische Interessen eingesetzt. Unternehmen sollten ihre Sicherheitsstrategien regelmäßig hinterfragen, Mitarbeitende sensibilisieren und neue Angriffsvektoren wie Cloud-Infrastrukturen oder Insider Threats konsequent mitdenken, um der wachsenden Gefahr wirksam zu begegnen.

Über den Autor: André Reichow-Prehn ist Managing Partner Unit 42 bei Palo Alto Networks.

(ID:50422329)