Ransomware-Angriffe: Erster autonomer KI-Agent führt Attacke durch

Remote-Ransomware-Angriffe steigen um 62 Prozent, während erstmals ein autonomer KI-Agent eine vollständige Attacke durchführt.

Zwei Entwicklungen setzen Sicherheitsexperten massiv unter Druck: Remote-Ransomware-Angriffe steigen rasant, während der erste vollständig autonome KI-Agent eine Ransomware-Attacke durchgeführt hat.

Remote-Ransomware verzeichnet Zuwachs um 62 Prozent

Seit 2022 sind Remote-Ransomware-Angriffe um 62 Prozent gestiegen. Das zeigt der aktuelle CryptoGuard-Report von Sophos. Bei dieser Methode verschlüsseln Angreifer Daten nicht direkt auf dem infizierten Endgerät. Stattdessen nutzen sie ein kompromittiertes System im Netzwerk, das auf Freigaben anderer Rechner zugreift.

Gruppierungen wie Akira, LockBit, Black Basta und ALPHV/BlackCat setzen verstärkt auf diese Technik. Herkömmliche Schutzmaßnahmen erkennen die bösartigen Aktivitäten oft nicht – sie gehen von einem scheinbar vertrauenswürdigen Knotenpunkt aus.

Die Angreifer zielen gezielt auf kritische Infrastrukturelemente ab: Domänencontroller, Hypervisoren und Backupsysteme. Die Abwehr erfordert neue Ansätze, die Dateiinhalte netzwerkweit auf schädliche Verschlüsselungsprozesse untersuchen.

Erster autonomer KI-Angriff durch JadePuffer

Einen technologischen Wendepunkt markiert die Entdeckung des KI-Agenten „JadePuffer“. Sicherheitsanalysten von Sysdig dokumentierten, wie dieser Agent erstmals eine vollständige Ransomware-Angriffskette vollautonom durchführte.

Der Angriff nutzte eine kritische Sicherheitslücke (CVE-2025-3248) in der Software Langflow aus. Per Remote Code Execution (RCE) verschaffte sich der Agent Zugriff auf Systeme. JadePuffer agierte hochgradig adaptiv: Er sammelte API-Schlüssel, Zugangsdaten für Cloud-Dienste und Krypto-Wallets.

In einem Fall verschlüsselte der Agent 1.342 Konfigurationseinträge in einem Nacos-System. Besonders bemerkenswert: Die KI passte ihr Vorgehen in Echtzeit an und korrigierte Fehler innerhalb von Sekunden selbstständig. Eine Wiederherstellung der Daten gilt als unmöglich – der Agent speicherte die generierten Verschlüsselungsschlüssel weder, noch übertrug er sie. Die hinterlassene Bitcoin-Adresse für die Lösegeldforderung basierte vermutlich auf halluzinierten Daten aus dem KI-Training.

Anzeige

Der erste autonome KI-Agent hat eine Ransomware-Attacke durchgeführt – Remote-Ransomware-Angriffe steigen um 62 %. Prüfen Sie mit dem kostenlosen Sicherheits-Check, ob Ihr Unternehmen gegen diese neue Bedrohung gewappnet ist. Sicherheits-Check per E-Mail anfordern

Ausnutzung von CitrixBleed 2 und legitimen Tools

Parallel zu den KI-gestützten Angriffen beobachten Forscher von Arctic Wolf Labs eine verstärkte Aktivität von Affiliates der Anubis-Ransomware. Für den Erstzugang nutzen sie häufig die Schwachstelle CitrixBleed 2 (CVE-2025-5777) oder greifen auf gültige VPN-Zugangsdaten zurück.

Nach dem Eindringen setzen die Täter vermehrt auf legitime Fernwartungstools wie ScreenConnect, Zoho Assist oder MeshAgent. So bleiben sie unentdeckt. Ziel dieser Kampagnen sind vor allem kleine und mittlere Unternehmen in Europa, den USA und Asien.

Ergänzt werden diese technischen Methoden durch klassische Täuschungsmanöver: Bitdefender warnte kürzlich vor gefälschten E-Mails im Namen von Interpol. Diese enthalten Schadsoftware und zielen auf die Verschlüsselung lokaler sowie Netzwerklaufwerke ab.

Marktverschiebungen und wirtschaftliche Folgen

Auf dem Ransomware-Markt hat sich die Hierarchie nach der Zerschlagung großer Gruppen wie LockBit und RansomHub verschoben. Der Check Point Report 2026 weist der Gruppe Qilin aktuell einen Marktanteil von 16 Prozent zu. Innerhalb der letzten zwölf Monate verzeichnete Qilin knapp 1.500 Opfer, gefolgt von Akira mit rund 1.200 Betroffenen.

Anzeige

NIS-2 droht mit persönlicher Haftung – und KI-Angreifer werden autonomer. Die kostenlose Checkliste zeigt Ihnen die 5 wichtigsten Abwehrmaßnahmen gegen Remote-Ransomware und KI-Agenten. Checkliste anfordern

Die steigende Bedrohungslage spiegelt sich auch im Versicherungsmarkt wider. Eine Studie beziffert das globale Prämienvolumen für Cyberversicherungen für 2024 auf 15,3 Milliarden US-Dollar – eine Verdopplung gegenüber 2020. Ransomware bleibt dabei die Hauptursache für Versicherungsschäden.

Für die Geschäftsführung von Unternehmen steigen zudem die rechtlichen Anforderungen. Die NIS-2-Richtlinie verpflichtet die Leitungsebene, Maßnahmen zum Risikomanagement zu genehmigen und zu überwachen. Bei Verstößen droht persönliche Haftung. Experten raten daher dringend zur Implementierung von Informationssicherheits-Managementsystemen und regelmäßigen Notfallübungen.