SANTA CLARA, Kalifornien – ThreatDown, die Geschäftseinheit von Malwarebytes, hat heute den Bericht „2025 State of Ransomware“ veröffentlicht. Darin wird ein signifikanter Anstieg der Ransomware-Angriffe um 25 % im Vergleich zum Vorjahr von Juli 2024 bis Juni 2025 festgestellt, mit einem historischen Höchststand von über 1.000 registrierten Vorfällen allein im Februar 2025. Der Bericht unterstreicht eine schnell wachsende und fragmentierte Ransomware-Landschaft, in der 41 neue Gruppen auftauchen, die Zahl der aktiven Gruppen zum ersten Mal die Zahl von 60 übersteigt und 42 Länder in diesem Zeitraum ihre ersten Ransomware-Vorfälle erleben.
Während Ransomware weiterhin menschlichen und wirtschaftlichen Schaden anrichtet, zeigen die Daten auch eine positive Entwicklung auf. Die wichtigsten taktischen Änderungen von Ransomware-Gruppen sind direkte Reaktionen auf fortschrittliche Lösungen wie Managed Detection and Response (MDR). Die erhöhte Wachsamkeit zwingt die Angreifer dazu, im Verborgenen zu operieren. Das veranlasst sie dazu, sich auf legitime Software statt auf Malware zu verlassen, ungeschützte Systeme ins Visier zu nehmen und Angriffe außerhalb der üblichen Arbeitszeiten zu starten, um der Entdeckung zu entgehen.
„Ransomware ist nicht nur ein Sicherheitsproblem, sondern eine tiefgreifende wirtschaftliche und menschliche Krise“, sagt Marcin Kleczynski, Gründer und CEO von Malwarebytes. „Die Eskalation hat zu schwerwiegenden Konsequenzen in der Praxis geführt, darunter kompromittierte Patientendaten, beträchtliche finanzielle Verluste und sogar Menschenopfer. Da die Angreifer immer skrupelloser und anpassungsfähiger werden, ist ständige Wachsamkeit dringend erforderlich.“
Zu den wichtigsten Ergebnissen gehören:
- Ausbreitung von Gruppen: Die Zahl der aktiven Ransomware-Gruppen hat sich in den letzten drei Jahren verdoppelt, was darauf hindeutet, dass die Einstiegshürde dank standardisierter Malware und zahlreicher KI-Tools niedriger ist. Die Landschaft zersplittert zusehends: Die zehn größten Gruppen sind nur noch für 50 % der Angriffe verantwortlich, zuvor waren es 69 %.
- Die globale Reichweite von Ransomware: Die Vereinigten Staaten waren mit 47 % der bekannten Angriffe weiterhin das Hauptziel. Die geografische Reichweite von Ransomware nimmt jedoch weiter zu: In 42 zuvor nicht betroffenen Ländern gab es in den letzten 12 Monaten erstmals Angriffe, was einen Anstieg der Zielländer um 46 % innerhalb von drei Jahren bedeutet.
- Belagerung des Gesundheitswesens: Der Gesundheitssektor war in den letzten 12 Monaten ein Hauptziel, da Angriffe wie der Synnovis-Vorfall und der McLaren Health Care-Verstoß wichtige Dienste unterbrachen und sensible Patientendaten in zahlreichen Krankenhäusern offenlegten.
- Unbeständigkeit an der Spitze: Die Spitze der Ransomware ist in ständigem Wandel begriffen. Dominante Gruppen tauchen auf und verschwinden schnell wieder. Von den 15 aktivsten Gruppen des letzten Jahres hatten die meisten im Vorjahr nur einen geringen oder gar keinen Fußabdruck. Die monatliche Volatilität der Ransomware-Angriffe ist im Vergleich zum Vorjahr ebenfalls um 50 % gestiegen, was auf das Stop-Start-Verhalten der größten Gruppen zurückzuführen ist.
„Die Komplexität und Geschwindigkeit moderner Ransomware-Angriffe erfordert mehr als die herkömmliche endpoint detection and response“, sagt Kendra Krause, General Manager bei ThreatDown. „Sicherheitsteams müssen ihre Fähigkeiten mit Managed Detection and Response erweitern, um die Transparenz, Geschwindigkeit und Expertise zu erreichen, die erforderlich sind, um fortschrittliche Bedrohungen zu erkennen, einzudämmen und zu beseitigen.
Ransomware-Gruppen verwenden weiterhin ähnliche Taktiken, die im letztjährigen 2024 State of Ransomware-Bericht hervorgehoben wurden, wie z. B. Angriffe in der Nacht, wenn das IT-Personal wahrscheinlich nicht so genau aufpasst, und die Verwendung legitimer Systemverwaltungs-Tools anstelle von Malware, um eine Entdeckung zu vermeiden – eine Taktik, die als Living Off the Land (LOTL) bekannt ist. Die Analysten haben im vergangenen Jahr neue, besorgniserregende Muster festgestellt – darunter das Ausnutzen von toten Winkeln, um Angriffe auf Geräte durchzuführen, die dem IT-Personal unbekannt sind.
Den vollständigen Bericht finden Sie unter threatdown Wenn Sie mehr über die neuesten Bedrohungen und Cybersicherheitsstrategien für Unternehmen und den Channel erfahren möchten, besuchen Sie threatdown.com oder folgen Sie ThreatDown auf LinkedIn und X.