Ransomware floriert trotz erfolgreichen Polizeiaktionen
2024 haben Polizeiaktionen zwar zu erfolgreichen Schlägen gegen Ransomware-Gruppen geführt, trotzdem stieg die Anzahl Ransomware-Angriffe auf einen Rekordwert. Zudem ändert sich das klassische Bedrohungsmuster: weg vom Verschlüsseln, hin zum reinen Datenklau.
Die Anzahl der weltweit bekannt gewordenen Ransomware-Attacken hat im Jahr 2024 wieder einen neuen Höchstwert erreicht: 5414 Fälle. Dies entspricht einem Anstieg von 11 Prozent im Vergleich zum Vorjahr, wie der Ransomware Report 2024 von Check Point zeigt. In Europa ist die Zahl der Attacken leicht rückläufig - vermutlich aufgrund von strengeren gesetzlichen Vorgaben und verbesserten Sicherheitsmassnahmen.
Besonders das vierte Quartal stach mit 1827 Angriffen hervor - ein weiterer Rekordwert gemäss Report. Im Gegensatz zum Vorjahr zeigte die Jahresübersicht 2024 einen klaren Anstieg im Abschlussquartal.
Dieser Anstieg ist aber dennoch kein Anzeichen für eine Saisonalität im Ransomware-Geschäft. Check Point erklärt die Zunahme mit einem signifikanten Anstieg neuer professioneller Ransomware-Banden. Diese neuen Banden bestehen möglicherweise aus erfahrenen Mitgliedern alter, zerschlagener Gruppen.
Die Strafverfolgungsbehörden standen nämlich nicht still, während die Anzahl der Ransomware-Attacken zunahm. Im Gegenteil: 2024 war eigentlich ein erfolgreiches Jahr für die Justiz. Der Report erwähnt beispielsweise die Zerschlagung des Lockbit-Netzwerks im Rahmen der Operation Cronos im Februar 2024. Im Sommer wurde ein kanadisch-russischer Doppelbürger, der an Lockbit-Attacken beteiligt war, verurteilt. Aufgrund von Rechtshilfeersuchen des Kantons Zürich konnten dem Mann auch Attacken auf Schweizer Opfer zur Last gelegt werden, wie Sie hier nachlesen können.
46 neue Ransomware-Banden
Die Operation Cronos führte zur Sicherstellung von 34 Servern in Ländern wie Deutschland, den Niederlanden und den USA. Doch während etablierte Netzwerke wie Lockbit geschwächt wurden, traten neue Akteure auf den Plan.
Insgesamt identifizierten Sicherheitsforschende 46 neue Ransomware-Gruppen. Die Gesamtzahl der aktiven Gruppen stieg somit auf 95 – ein Anstieg von 40 Prozent im Jahresvergleich. Eine dieser Gruppen, Ransomhub, war allein für 531 der bekannt gewordenen Angriffe verantwortlich. Die Gruppe führt Check Points Liste der aktivsten Ransomware-Banden im vierten Quartal 2024 an - gefolgt von Akira, Play, Killsec und Funksec. Ein paar der bekannten Ransomware-Namen, die in der Jahresübersicht die Top 10 dominieren, schafften es im vierten Quartal nicht auf die Liste. Darunter sind Lockbit 3.0, Medusa, Blackbasta und Bianlian.
Eine weitere Erkenntnis des Reports ist, dass sich das typische Vorgehen von Ransomware-Banden wohl gerade ändert. Statt die Daten ihrer Opfer zu verschlüsseln und ein Lösegeld für deren Freigabe zu verlangen, setzen diese Cyberkriminellen zunehmend auf Datenklau durch Erpressung. Sie drohen damit, die gestohlenen Daten zu veröffentlichen, falls ein Opfer nicht zahlen will.
Laut Check Point fiel die Rate der Lösegeldzahlungen bei Verschlüsselungsangriffen auf 32 Prozent im dritten Quartal 2024. Vor fünf Jahren lag dieser Wert noch bei 75 Prozent. Die Zahlungen nach Datenklau blieben gemäss Report hingegen konstant bei etwa 35 Prozent.
Zahlen oder nicht zahlen? Diese Frage will sich wohl keine Firma stellen. In der Schweiz sind solche Zahlungen (teilweise) gedeckt - allerdings nicht bei allen Versicherungen. Trotzdem sollten Unternehmen sich nicht auf Forderungen solcher Erpresser einlassen. Weshalb, lesen Sie hier.
Die Abwehr muss sich ebenfalls anpassen
Ein weiterer Trend, den Check Point beobachtet, ist Ransomware-as-a-Service. Hierbei vermieten Hacker ihre Schadprogramme an Kriminelle. Die Mieter behalten 90 Prozent der erpressten Lösegelder; die restlichen 10 Prozent gehen zum Anbieter der Ransomware. Um unabhängiger von etablierten Darknet-Plattformen zu werden, greifen Gruppen wie Ransomhub vermehrt auf durchgesickerte Codes anderer Programme zurück, um eigene Ransomware zu entwickeln.
"Eines bleibt jedoch gleich", sagt Omer Dembinsky, Data Research Group Manager bei Check Point, zu diesen Veränderungen. "Die Notwendigkeit, den Datenschutz, die Überwachung und die schnelle Erkennung von Bedrohungen den Gegebenheiten anzupassen und zu verbessern." Denn so, wie sich Ransomware verändere, müsse auch die Verteidigung umgebaut werden. "Die zunehmende Komplexität dieser Angriffe erfordert einen integrierten Ansatz für die Cybersicherheit. Einen Ansatz, der Technologie, Intelligenz und Zusammenarbeit in der globalen Sicherheitsgemeinschaft kombiniert."
Für das Jahr 2025 rechnet Check Point damit, dass Hacker zunehmend künstliche Intelligenz integrieren und Zero-Day-Schwachstellen ausnutzen werden. So wollen sie die Effektivität ihrer Attacken steigern. Ausserdem werden "hochwertige Branchen", wie Energie, Gesundheitswesen und Produktion, künftig einem erhöhten Risiko ausgesetzt sein, prognostiziert Check Point.
Den vollständigen Check Point Ransomware Report 2024 können Interessierte von der Website des israelischen Unternehmens als PDF herunterladen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie sich Kinder und Jugendliche online schützen können
Die dunkle Seite von Verkaufsprovisionen am POS
Die Swiss Cyber Security Days 2026 rücken digitale Souveränität ins Zentrum
Was hinter dem vertikal rotierenden Fisch steckt
Betrüger tarnen sich als "Kraken"
Wie Cyberkriminelle Suchmaschinen manipulieren
Cyberkriminelle phishen mit gefälschten Postquittungen
Hacker greifen Westschweizer Radiologiezentren an
Zahl der Cyberangriffe in der Schweiz nimmt weiter stark zu
