{"id":15918,"date":"2026-03-09T04:01:40","date_gmt":"2026-03-09T04:01:40","guid":{"rendered":"https:\/\/newestek.com\/?p=15918"},"modified":"2026-03-09T04:01:40","modified_gmt":"2026-03-09T04:01:40","slug":"tarnung-als-taktik-warum-ransomware-angriffe-raffinierter-werden","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15918","title":{"rendered":"Tarnung als Taktik: Warum Ransomware-Angriffe raffinierter werden"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
\n

Statt eines kurzen, aber sehr schmerzhaften Stiches setzen Cyberkrimelle zunehmend darauf, sich in ihren Opfern festzubei\u00dfen und best\u00e4ndig auszusaugen.<\/p>\n<\/figcaption><\/figure>\n

mycteria \u2013 shutterstock.com<\/p>\n<\/div>\n

Ransomware-Angreifer \u00e4ndern zunehmend ihre Taktik und setzen vermehrt auf unauff\u00e4llige Infiltration. Dies liegt daran, dass die Drohung mit der Ver\u00f6ffentlichung sensibler Unternehmensdaten zum Hauptdruckmittel bei Erpressungen geworden ist.<\/p>\n

Der j\u00e4hrliche Red-Teaming-Bericht von Picus Security<\/a> zeigt, dass Angreifer zunehmen von auff\u00e4lligen St\u00f6rungen zu stillen, langfristigen Zugriffen \u00fcbergehen, also weg von \u201er\u00e4uberischen\u201c Smash-and-Grab-Methoden hin zu einer \u201eparasit\u00e4ren\u201c Strategie mit verdeckter Dauerpr\u00e4senz.<\/p>\n

So seien vier von f\u00fcnf der h\u00e4ufigsten Angriffstechniken von Ransomware-Varianten darauf ausgelegt, nach dem ersten Angriff unentdeckt zu bleiben. Laut Picus Security setzen Ransomware-Angreifer zunehmend darauf, Sicherheitsvorkehrungen zu umgehen und sich im Netzwerk festzusetzen, da sich ihr Vorgehen kontinuierlich weiterentwickelt hat.<\/p>\n

Zudem leiteten Angreifer Command-and-Control-Verkehr (C2) immer h\u00e4ufiger \u00fcber vertrauensw\u00fcrdige Unternehmensdienste wie OpenAI und AWS, damit ihre sch\u00e4dlichen Aktivit\u00e4ten st\u00e4rker wie normalen Gesch\u00e4ftsdatenverkehr erscheinen.<\/p>\n

Verkettung als Strategie<\/h2>\n

Die Schlussfolgerungen von Picus Security basieren auf Angriffssimulationen sowie die Analyse von 1,1 Millionen Schadsoftware-Dateien und 15,5 Millionen Angriffsaktionen, die dem MITRE ATT&CK-Framework<\/a> zugeordnet wurden.<\/p>\n

MIt der Erkenntnis, dass Angreifer Tarnung und Beharrlichkeit gegen\u00fcber auff\u00e4lligen St\u00f6rungen bevorzugen, ist Picus nicht allein. Sie deckt sich mit den Ergebnissen der Ransomware-Forschung von Securin<\/a> (Download gegen Daten). Wie das Unternehmen berichtet, verketten Angreifer zunehmend mehrere Schwachstellen in ihren Angriffen auf Unternehmenssysteme miteinander.<\/p>\n

\u201eRansomware-Gruppen betrachten Schwachstellen nicht mehr als isolierte Einfallstore\u201c, erkl\u00e4rt Aviral Verma, leitende Analystin f\u00fcr Bedrohungsanalysen von Securin. \u201eSie verkn\u00fcpfen sie zu gezielten Angriffsketten und w\u00e4hlen Schwachstellen nicht nur nach deren Schweregrad aus, sondern auch danach, wie effektiv sie damit Vertrauen, Persistenz und operative Kontrolle \u00fcber ganze Plattformen hinweg untergraben k\u00f6nnen.\u201c<\/p>\n

KI verst\u00e4rkt Ransomware<\/h2>\n

Wenngleich Angreifer immer st\u00e4rker mit KI vertraut sind, fungiert sie bei Ransomware-Angriffen prim\u00e4r als Verst\u00e4rker und nicht als treibende Kraft. Ransomware-Banden bevorzugen h\u00e4ufig, ihre Opfer doppelt zu erpressen: Zum einen drohen sie damit, die gestohlenen Informationen zu ver\u00f6ffentlichen, zum anderen mit dem Chaos, dass die Verschl\u00fcsselung der Daten nach dem Eindringen in Unternehmensnetzwerke verursacht.<\/p>\n

Mittlerweile sind diese Attacken allerdings weniger geworden, wie Picus berichtet. Konkret spricht das Unternehmen von einem R\u00fcckgang der Verschl\u00fcsselungen um 38 Prozent in den letzten 12 Monaten. Der Hintergrund: Immer mehr Cyberkriminelle w\u00fcrden dazu \u00fcbergehen, Daten unbemerkt zu exfiltrieren, um die Opfer zu erpressen.<\/p>\n

Kein R\u00fcckgang, eher Zunahme<\/h2>\n

Picus\u2019 Behauptung, die Anzahl der Ransomware-Angriffe gehe zur\u00fcck, ist allerdings umstritten. So vertritt Tony Anscombe, Chief Security Evangelist bei ESET, einem Anbieter von Endpoint-Security-L\u00f6sungen, eine gegenteilige Meinung:<\/p>\n

\u201eIm aktuellen ESET-Threat-Report<\/a> f\u00fcr das zweite Halbjahr 2025 zeigen die Erkennungsdaten einen Anstieg von 13 Prozent zwischen dem ersten und zweiten Halbjahr\u201c, erkl\u00e4rt der Experte gegen\u00fcber unserer US-amerikanischen Schwester. \u201eGleichzeitig stieg die Zahl der \u00f6ffentlich gemeldeten Opfer laut ecrime.ch um 40 Prozent. Daher scheint Ransomware nicht r\u00fcckl\u00e4ufig zu sein.\u201c<\/p>\n

Mehr Opfer durch Optimierung<\/h2>\n

Auch der Cybersicherheitsdienstleister GuidePoint Security sieht keinen R\u00fcckgang \u2013 ganz im Gegenteil. Wie das Unternehmen darstellt, erreichte die Zahl der aktiven Ransomware-Gruppen im vergangenen Jahr einen neuen H\u00f6chststand.<\/p>\n

So gibt Nick Hyatt, Senior Threat Intelligence Consultant bei GuidePoint Security, an, dass im vergangenen Jahr die Daten von \u00fcber 7.000 Opfern ver\u00f6ffentlicht wurden. Diese Zahl schlie\u00dft wahrscheinlich diejenigen aus, die zwar L\u00f6segeld zahlten, deren Daten aber nie von den Angreifern ver\u00f6ffentlicht wurden.<\/p>\n

\u201eDie Angreifer haben ihre Angriffsf\u00e4higkeiten optimiert und setzen auf eine Mischung aus etablierten Techniken, der Ausnutzung von Sicherheitsl\u00fccken und neuartigen Angriffen, um ihre Ziele zu erreichen\u201c, so Hyatt.<\/p>\n

Obenauf die \u00fcblichen Verd\u00e4chtigen<\/h2>\n

Die von CSO befragten Experten stuften Qilin<\/a>, Cl0p und Akira<\/a> allgemein als die aktivsten Ransomware-Gruppen<\/a> ein, allerdings gab es zahlreiche weitere Konkurrenten.<\/p>\n

\u201eLaut den Huntress-Daten f\u00fcr 2025 ist Akira heute die f\u00fchrende Ransomware-Gruppe\u201c, erkl\u00e4rt Dray Agha, Senior Manager of Security Operations beim Managed Detection and Response-Anbieter Huntress. \u201eIhre Vorgehensweise entwickelt sich rasant weiter, insbesondere um bestehende Sicherheitsl\u00f6sungen zu neutralisieren. Wir beobachten, dass sie aggressiv die Hypervisor-Ebene angreifen, um herk\u00f6mmliche Endpoint-Sicherheitsma\u00dfnahmen vollst\u00e4ndig zu umgehen.\u201c<\/p>\n

Collin Hogue-Spears, leitender Direktor und technischer Experte beim Sicherheitsunternehmen Black Duck Software, erkl\u00e4rt, dass Ransomware-Betreiber nicht mehr wie organisierte Verbrecher, sondern wie ein Plattformunternehmen agieren. So verzeichnete Qilin 2025 \u201e\u00fcber 1.000 Opfer, eine Versiebenfachung gegen\u00fcber dem Vorjahr\u201c, wie der Experte erl\u00e4utert. \u201eLockBit 5.0 hat, nachdem es abgeschaltet wurde, seine Einsatzf\u00e4higkeit wiedererlangt.\u201c<\/p>\n

Cybercrime-Dienstleitung befeuert das Verbrechen<\/h2>\n

Unterdessen bietet die F\u00f6deration aus Scattered Spider, Lapsus$ und ShinyHunters, kurz SLSH, Extortion-as-a-Service<\/a> an \u2013 ein Ansatz, der es auch technisch weniger versierten Cyberkriminellen erleichtert, sich auf betr\u00fcgerische Weise ihren Lebensunterhalt zu verdienen. \u201eInnerhalb von sechs Monaten sind 73 neue Gruppen entstanden, weil sie ihre Tools nicht mehr selbst entwickeln m\u00fcssen\u201c, so Hogue-Spears. \u201eSie mieten sie.\u201c<\/p>\n

Vasileios Mourtzinos, Mitglied des Bedrohungsteams beim Managed-Detection-and-Response-Unternehmen Quorum Cyber, erkl\u00e4rt, dass immer mehr Gruppen von wirksamer Verschl\u00fcsselung zu erpressungsbasierten Modellen \u00fcbergehen. Dabei st\u00fcnden Datendiebstahl und ein langanhaltender, unauff\u00e4lliger Zugriff im Vordergrund.<\/p>\n

Gefahr kommt von innen<\/h2>\n

\u201eDiese Vorgehensweise, die durch Akteure wie Cl0p bekannt wurde, indem sie Schwachstellen in Drittanbietersystemen und Lieferketten gro\u00dffl\u00e4chig ausnutzen, findet nun immer breitere Anwendung\u201c, so Mourtzinos. \u201eHinzu kommt der zunehmende Missbrauch g\u00fcltiger Konten und legitimer administrativer Tools, um sich in den normalen Gesch\u00e4ftsbetrieb einzuf\u00fcgen. In einigen F\u00e4llen werden sogar Insider rekrutiert oder mit Anreizen bestochen, um den Zugriff zu erm\u00f6glichen.\u201c<\/p>\n

Diese sich stetig weiterentwickelnden Methoden von Ransomware-Gruppen erfordern ein \u00dcberdenken der Abwehrstrategien. \u201eF\u00fcr CISOs sollte die Priorit\u00e4t darin bestehen, die Identit\u00e4tskontrollen zu st\u00e4rken, vertrauensw\u00fcrdige Anwendungen und Integrationen von Drittanbietern genau zu \u00fcberwachen und sicherzustellen, dass sich die Erkennungsstrategien auf Persistenz und Datenexfiltration konzentrieren\u201c, r\u00e4t er. (tf)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Statt eines kurzen, aber sehr schmerzhaften Stiches setzen Cyberkrimelle zunehmend darauf, sich in ihren Opfern festzubei\u00dfen und best\u00e4ndig auszusaugen. mycteria \u2013 shutterstock.com Ransomware-Angreifer \u00e4ndern zunehmend ihre Taktik und setzen vermehrt auf unauff\u00e4llige Infiltration. Dies liegt daran, dass die Drohung mit der Ver\u00f6ffentlichung sensibler Unternehmensdaten zum Hauptdruckmittel bei Erpressungen geworden ist. Der j\u00e4hrliche Red-Teaming-Bericht von Picus Security zeigt, dass Angreifer zunehmen von auff\u00e4lligen St\u00f6rungen zu stillen,… <\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15918","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15918"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15918\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}