![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Sicherheitsanbieter Check Point Research hat seinen Ransomware-Bericht f\u00fcr das 1. Quartal 2025 vorgelegt. Die Sicherheitsforscher von Check Point Research (CPR) vermelden im aktuellen Bericht State of Ransomware, dass es im ersten Quartal 2025 einen neuen H\u00f6chststand an durch Hacker bekannt gemachten Ransomware-Angriffen gab.<\/p>\n
<\/p>\n
Cyberkriminelle beanspruchten zuletzt 126 Prozent mehr erpresste Unternehmen als im Q1 2024 f\u00fcr sich. In Deutschland ist au\u00dferdem die Safepay-Gruppe mit 24 Prozent Anteil hierzulande die aktivste Ransomware-Bande. Auf Deutschland entfallen drei Prozent aller weltweiten Ransomware-Angriffe. Die Safepay-Gruppe ist mit 24 Prozent Anteil hierzulande die aktivste Bande.<\/p>\n
Es gab einen rekordverd\u00e4chtigen Anstieg der Ransomware-Vorf\u00e4lle: Im ersten Quartal 2025 stieg die Zahl der von Hackern bekanntgegebenen Unternehmen weltweit um 126 Prozent auf 2289 Opfer. Das ist der h\u00f6chste je gemessene Wert. Sogar ohne die massenhaften Opfer der Ransomware-Bande Cl0p bleibt die Zahl der Vorf\u00e4lle auf historisch hohem Niveau.<\/p>\n
Deutschland wird gezielt durch die Safepay-Gruppe angegriffen, die besonders aktiv ist. 24 Prozent aller f\u00fcr Deutschland gemeldeten Vorf\u00e4lle gehen auf das Konto dieser Gang und diese ist somit die bedeutendste Ransomware-Bedrohung im Land.<\/p>\n
Die Ransomware-Gruppe Cl0p dominiert mit Lieferkettenangriffen. Die Gruppe Cl0p wurde zur aktivsten Ransomware-Gruppe und nutzte Zero-Day-Schwachstellen in Datei\u00fcbertragungsprodukten von Cleo, wobei 83 Prozent ihrer Opfer in Nordamerika ans\u00e4ssig waren, aber auch Unternehmen in Deutschland betroffen sind.<\/p>\n
Noch etwas, was mir auch aufgefallen ist: Es gibt zunehmend falsche Opfermeldungen der diversen Cybergruppe, was das Lagebild erschwert. Gruppen wie Babuk-Bjorka und FunkSec verbreiten zunehmend gef\u00e4lschte oder recycelte Opfermeldungen, was die tats\u00e4chliche Bedrohungslage verschleiert und neue Herausforderungen f\u00fcr die Cyber-Abwehr in Deutschland und weltweit schafft.<\/p>\n
Ransomware ist nach wie vor eine der hartn\u00e4ckigsten und sch\u00e4dlichsten Cyber-Bedrohungen f\u00fcr Unternehmen weltweit. Im ersten Quartal 2025 gab es einen noch nie dagewesenen Anstieg der Aktivit\u00e4ten: 74 verschiedene Ransomware-Gruppen meldeten \u00f6ffentlich Opfer auf Data Leak Sites (DLS). Diese Gruppen sprechen von insgesamt 2289 Opfern \u2013 mehr als doppelt so viele wie im gleichen Zeitraum des Vorjahres, in dem 1011 F\u00e4lle ver\u00f6ffentlicht wurden. Das entspricht einem Anstieg von 126 Prozent im Vergleich zum Vorjahr.<\/p>\n
Zieht man die 300 Opfer ab, die auf die Massenenth\u00fcllung von Cl0p im Februar 2025 zur\u00fcckzuf\u00fchren sind, und die mit der Ausnutzung der Datei\u00fcbertragungsplattform Cleo zusammenh\u00e4ngt, bleiben die Zahlen historisch hoch. Der bereinigte Monatsdurchschnitt liegt bei \u00fcber 650 Opfern, verglichen mit circa 450 pro Monat im gesamten Jahr 2024. Unter Einbeziehung von Cl0p steigt der Durchschnitt f\u00fcr Q1 auf 760 pro Monat und setzt damit einen neuen H\u00f6chstwert f\u00fcr Ransomware-Aktivit\u00e4ten (Durchschnitt f\u00fcr Q1 in Abbildung 1 visualisiert).<\/p>\n
Dieser starke Anstieg spiegelt m\u00f6glicherweise einen wachsenden Trend unter den Bedrohungsakteuren wider, das Ausma\u00df ihrer Angriffe zu \u00fcbertreiben. Dazu geh\u00f6rit auch die F\u00e4lschung von Opferdaten, um eine gr\u00f6\u00dfere Reichweite vorzut\u00e4uschen und potenzielle k\u00fcnftige Ziele einzusch\u00fcchtern.<\/p>\n Gleichzeitig ist anzumerken, dass Unternehmen, die schnell L\u00f6segeld zahlen, in der Regel von der Ver\u00f6ffentlichung auf Leak-Sites ausgeschlossen sind, was darauf hindeutet, dass in der Vergangenheit ver\u00f6ffentlichte Zahlen das wahre Ausma\u00df von Ransomware-Vorf\u00e4llen deutlich unterrepr\u00e4sentiert haben k\u00f6nnten.<\/p>\n Die aktivsten Ransomware-Gruppen in Q1 geordnet nach \u00f6ffentlich bekannt gemachten Opfern waren Cl0p, Ransomhub und Babuk-Bjorka. Ein gro\u00dfer Teil der Angriffe verteilt sich jedoch auf kleinere Gruppen, die unter der Kategorie \u201eAndere\" subsummiert sind (Abbildung 2).<\/p>\n Die geografische Verteilung der Ransomware-Opfer im ersten Quartal 2025 spiegelt weiterhin die langj\u00e4hrigen Muster im Ransomware-\u00d6kosystem wider. Wie in den Vorjahren entfiel etwa die H\u00e4lfte aller gemeldeten Opfer auf die Vereinigten Staaten von Amerika, was ihre Position als Hauptziel f\u00fcr finanziell motivierte Hacker unterstreicht.<\/p>\n Au\u00dferdem stammen die meisten \u00f6ffentlich gelisteten Opfer nach wie vor aus westlichen Industrienationen, in denen Organisationen \u00fcber gr\u00f6\u00dfere finanzielle Ressourcen verf\u00fcgen und somit eine h\u00f6here Wahrscheinlichkeit herrscht, dass sie das L\u00f6segeld zahlen.<\/p>\n Ein genauerer Blick auf die Opferdaten nach L\u00e4ndern zeigt, dass einige Ransomware-Gruppen deutliche geografische Pr\u00e4ferenzen aufweisen. In Gro\u00dfbritannien zum Beispiel ist die Medusa-Ransomware-Gruppe \u00fcberproportional aktiv \u2013 sie ist f\u00fcr mehr als neun Prozent der gemeldeten Opfer verantwortlich, verglichen mit nur zwei Prozent der Opfer weltweit. Dies deutet auf eine gezielte Strategie oder eine st\u00e4rkere operative Verankerung in der Region hin.<\/p>\n Die Sektor-Verteilung der Ransomware-Opfer im ersten Quartal 2025 spiegelt zudem eine typische branchen\u00fcbergreifende Art wider, wobei keine Branche besonders stark betroffen ist.<\/p>\n In Deutschland zeichnet sich die Safepay-Ransomware-Gruppe durch ein hohes Ma\u00df an Aktivit\u00e4t aus. Unter den 74 Ransomware-Opfern, die im ersten Quartal 2025 in Deutschland gemeldet wurden, war Safepay f\u00fcr 24 Pozent verantwortlich \u2013 der h\u00f6chste Anteil einer Gruppe hierzulande.<\/p>\n Mit 392 \u00f6ffentlich genannten Opfern war Cl0p im ersten Quartal 2025 der aktivste Ransomware-Akteur weltweit. Die Gruppe setzt weiterhin auf verschl\u00fcsselungslose Angriffe und konzentriert sich stattdessen auf Datenexfiltration und -erpressung. Dabei nutzt sie in Wellen Zero-Day-Schwachstellen in weit verbreiteten Plattformen von Drittanbietern, um Dienstleister zu kompromittieren und anschlie\u00dfend auf die Daten der Kunden zuzugreifen.<\/p>\n Nach fr\u00fcheren Kampagnen mit gro\u00dfer Wirkung, wie GoAnywhere Anfang 2023 und MOVEit Mitte 2023, wurden die Aktivit\u00e4ten von Cl0p im Jahr 2025 haupts\u00e4chlich durch die Ausnutzung der von Cleo verwalteten Datei\u00fcbertragungsprodukte Harmony, VLTrader und LexiCom vorangetrieben \u2013 ein Angriff, der f\u00fcr mehr als 300 Offenlegungen von Cl0p im ersten Quartal verantwortlich war.<\/p>\n Die geografische Verteilung der Cl0p-Opfer zeigt eine auff\u00e4llige Konzentration in Nordamerika: 83 Prozent der Opfer stammen aus den USA und Kanada, gefolgt von Gro\u00dfbritannien und Deutschland. Dies steht im Gegensatz zum breiteren Ransomware-\u00d6kosystem, bei dem Organisationen in den USA in der Regel etwa 55 Prozent der Gesamtopfer ausmachen. Auch die Branchenanalyse der Opfer von Cl0p weicht von der Norm ab: 33 Prozent der Opfer stammen aus dem Sektor Konsumg\u00fcter und Dienstleistungen, w\u00e4hrend 12 Prozent aus dem Bereich Transport und Logistik stammen \u2013 mehr als doppelt so viele wie die 4,8 Prozent, die dieser Sektor bei allen Ransomware-Vorf\u00e4llen zusammengerechnet aufweist. Diese Schieflage spiegelt das Opferprofil der Cleo-Plattform wider, die von vielen nordamerikanischen Unternehmen aus den Bereichen Fertigung, Lieferkette und Logistik genutzt wird.<\/p>\n RansomHub tauchte im Februar 2024 auf und hat sich als eine der dominierenden Ransomware-Gruppen positioniert, die 228 Opfer allein im ersten Quartal 2025 \u00f6ffentlich benannt hat. Der rasche Aufstieg von RansomHub folgt auf die Unterbrechung der Operationen von LockBit durch die Strafverfolgungsbeh\u00f6rden Anfang 2024 und f\u00fcllt das Vakuum, das einer der etabliertesten Ransomware-as-a-Service (RaaS) hinterlassen hat. RansomHub hat sich durch eine aggressive Strategie zur Anwerbung von Partnern hervorgetan, die auf ein g\u00fcnstiges Gewinnbeteiligungsmodell setzt.<\/p>\n Die Verteilung der Opfer spiegelt die allgemeinen Trends im \u00d6kosystem wider: Auf Unternehmen mit Sitz in den USA entfallen etwa 59 Prozent der gemeldeten F\u00e4lle, was mit dem allgemeinen Muster in der Ransomware-Landschaft \u00fcbereinstimmt.<\/p>\n Babuk-Bjorka belegte im Q1 2025 den dritten Platz und forderte seit seinem Auftauchen Anfang dieses Jahres 167 Opfer. Die Gruppe positioniert sich selbst als Wiederbelebung der urspr\u00fcnglichen Babuk-Ransomware-Operation, die ihre Aktivit\u00e4ten 2021 einstellte, nachdem ihr Quellcode geleakt worden war. Allerdings gibt es keine Beweise f\u00fcr eine Verbindung zwischen Babuk-Bjorka und der urspr\u00fcnglichen Gruppe. Es ist wahrscheinlicher, dass der neue Akteur den Namen Babuk nutzt, um Medienaufmerksamkeit zu erregen und Partner im Rahmen eines RaaS-Modells anzuziehen.<\/p>\n Allein im Januar meldete Babuk-Bjorka aufsehenerregende 68 Opfer, aber eine weitere Analyse ergab, dass viele davon Duplikate von Vorf\u00e4llen waren, die zuvor anderen Ransomware-Gruppen zugeschrieben wurden.<\/p>\n FunkSec, eine Ransomware-Gruppe, die im Dezember 2024 auftauchte, ist ein Beispiel f\u00fcr mehrere sich entwickelnde Trends im Ransomware-\u00d6kosystem. Seit ihrem Auftauchen hat die Gruppe die Verantwortung f\u00fcr mehr als 170 Angriffe \u00fcbernommen, wobei die Glaubw\u00fcrdigkeit dieser Behauptungen ungewiss bleibt.<\/p>\n Untersuchungen von Check Point Research legen nahe<\/a>, dass die Malware von FunkSec wahrscheinlich mit Hilfe von KI-Tools entwickelt wurde \u2013 ein Ansatz, der eine Anpassung und Verfeinerung auch ohne fortgeschrittene technische Kenntnisse erm\u00f6glicht. Dieser Einsatz von KI senkte die Einstiegsh\u00fcrde f\u00fcr Cyber-Kriminelle erheblich und erm\u00f6glicht den Einsatz ausgefeilter Ransomware durch relativ unerfahrene Personen.<\/p>\n Zus\u00e4tzlich zu den Fragen bez\u00fcglich der Legitimit\u00e4t seiner Anspr\u00fcche auf bisherige Opfer erschwert FunkSec die Zuordnung, da es an der Schnittstelle zwischen Hacktivismus und finanziell motivierter Kriminalit\u00e4t operiert, was es schwierig macht, die zugrunde liegenden Motive zuverl\u00e4ssig zu bewerten.<\/p>\n Sergey Shykevich von Check Point Software sagt dazu \"Der Anstieg der Ransomware um 126 Prozent ist mehr als nur eine Zahl, er ist ein Signal. Dieser Trend deutet auf intelligentere, schnellere und schwerer zu verfolgende Kampagnen sowie Gruppen hin, die versuchen, die Gesellschaft zu sabotieren und zu manipulieren. KI-Tools, gef\u00e4lschte Opferbehauptungen und regional zugeschnittene Taktiken zeigen, dass Unternehmen \u00fcber reaktive Abwehrma\u00dfnahmen hinausgehen und pr\u00e4ventive, informationsgest\u00fctzte Sicherheit einf\u00fchren m\u00fcssen.\" Der gesamte Bericht ist im Artikel\u00a0The State of Ransomware in the First Quarter of 2025: Record-Breaking 126% Spike in Public Extortion Cases<\/a> abrufbar.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Sicherheitsanbieter Check Point Research hat seinen Ransomware-Bericht f\u00fcr das 1. Quartal 2025 vorgelegt. Die Sicherheitsforscher von Check Point Research (CPR) vermelden im aktuellen Bericht State of Ransomware, dass es im ersten Quartal 2025 einen neuen H\u00f6chststand an durch Hacker bekannt … Weiterlesen ![\"Ransomware-Angriffe](\"https:\/\/i.postimg.cc\/FH2tkrQ0\/files-images-Check-Point-Abbildung-1-Gesamtzahl-der-gemeldeten-Ransomware-Opfer-auf-Data-Leak-Site.png\" "\\"Ransomware-Angriffe")
\nAbbildung 1 – Gesamtzahl der gemeldeten Ransomware-Opfer auf Data Leak Sites pro Monat (Check Point Software Technologies Ltd.).<\/em><\/p>\n![\"Ransomware-Gruppen](\"https:\/\/i.postimg.cc\/Y0XsvPn4\/image.png\")
\nAbbildung 2 – Ransomware-Gruppen nach vermeintlichen Opfern – Q1 2025 (Check Point Software Technologies Ltd.).<\/em><\/p>\nSafepay in Deutschland die aktivste Ransomware-Gruppe<\/h2>\n
![\"Ransomware-Opfer](\"https:\/\/i.postimg.cc\/1XL0cjR7\/files-images-Check-Point-Abbildung-3-Ransomware-Opfer-nach-Land-Q1-2025.png\")
Abbildung 3 – Ransomware-Opfer nach Land, Q1 2025 (Check Point Software Technologies Ltd.).<\/em><\/p>\n![\"Ransomware-Opfer](\"https:\/\/i.postimg.cc\/bvzxTb8P\/files-images-Check-Point-Abbildung-4-Ransomware-Opfer-nach-Branche-Q1-2025-Global.png\")
Abbildung 4 – Ransomware-Opfer nach Branche, Q1 2025 (Global) (Check Point Software Technologies Ltd.).<\/em><\/p>\n![\"Opfer](\"https:\/\/i.postimg.cc\/vm3WSBHV\/files-images-Check-Point-Abbildung-5-Deutschland-Anteil-an-Opferzahlen-nach-Akteuren-Q1-2025.png\")
Abbildung 5 – Deutschland \u2013 Anteil an Opferzahlen nach Akteuren, Q1 2025 (Check Point Software Technologies Ltd.) *) \"Spielen\" steht in obiger Grafik f\u00fcr die \"Play\"-Ransomware-Gruppe – und \"Inc. L\u00f6segeld\" ist die \"Inc Ransom\"-Gruppe – ist leider schlecht von Check Point bzw. deren Agentur \u00fcbersetzt worden.\u00a0<\/em><\/p>\nCl0p: Verschl\u00fcsselungslose Angriffe; Fokus auf Lieferketten<\/h2>\n
RansomHub als aufstrebende Kraft nach LockBit<\/h2>\n
Babuk-Bjorka: Reputationsaufbau durch wiederverwertete Opfer<\/h2>\n
FunkSec: KI-gesteuerte Malware und unklare Motivation<\/h2>\n