Trends und Muster bei Ransomware-Gruppen


Dragos Industrial Ransomware Analyse: Deutschland unter den am stärksten von Ransomware-Angriffen betroffenen Ländern
Ransomware-Angriffe in Deutschland folgen einem breiteren europäischen Muster, bei dem Angreifer Sektoren mit einer geringen Toleranz für Betriebsausfälle priorisieren


Von Abdulrahman H. Alamri, Senior Intel Analyst II bei Dragos

Deutschland war laut der "Dragos Industrial Ransomware Analyse" im dritten Quartal 2024 eines der am stärksten von Ransomware-Angriffen betroffenen Ländern Europas. Rund 22 Prozent der weltweiten Ransomware-Aktivitäten fanden in Europa statt, wobei Deutschland, Großbritannien und Italien am häufigsten angegriffen wurden. Besonders betroffen waren die Sektoren Fertigung, Transport und Technologie. Diese Vorfälle weisen auf einen besorgniserregenden Trend hin: Cyberkriminelle greifen gezielt kritischen Infrastrukturen von Industrienationen an.

Regionalen Auswirkungen: Deutschland im Fokus
Ransomware-Angriffe in Deutschland folgen einem breiteren europäischen Muster, bei dem Angreifer Sektoren mit einer geringen Toleranz für Betriebsausfälle priorisieren. Die Cybersicherheitsexperten von Dragos konnten zwar keine direkten Angriffe auf OT-Assets (Operational Technology) beobachten, dennoch verursachten Ausfallzeiten durch Ransomware in IT-Umgebungen schwerwiegende Störungen industrieller Prozesse. Diese Störungen führten zu finanziellen Verlusten, Produktionsverzögerungen und Sicherheitsrisiken, die durch die Vernetzung von IT- und OT-Systemen noch verstärkt wurden.

Ein bemerkenswerter Vorfall war der Cyberangriff auf die Arntz Optibelt Group im August 2024, einen führenden deutschen Hersteller von Riemenantrieben. Der Angriff führte zu einer erheblichen Störung der IT-Infrastruktur des Unternehmens und zeigt, dass Ransomware-Kampagnen sich auch ohne direkten OT-Einfluss erheblich auf Industrieunternehmen auswirken können.

Trends und Muster bei Ransomware-Gruppen
Das dritte Quartal 2024 zeigte, wie dynamisch und anpassungsfähig Ransomware-Gruppen sind. Internationale Strafverfolgungsmaßnahmen wie Operation Cronos führten zu erheblichen Rückschlägen für etablierte Gruppen, darunter LockBit3. Ihre Mitglieder mussten sich entweder anderen Gruppen wie RansomHub anzuschließen oder sich unter neue Namen zusammenzuschließen.

Neue und etablierte Ransomware-Gruppen nutzen neuartige Taktiken, Techniken und Verfahren (TTPs) ein, um einer Entdeckung zu entgehen und ihre Wirkung zu maximieren. Die wichtigsten Beobachtungen von Dragos sind:

>> RansomHubs Dominanz: Als aktivste Ransomware-Gruppe im dritten Quartal 2024 wurde RansomHub mit 90 Vorfällen weltweit in Verbindung gebracht, die sich aggressiv gegen Industrieunternehmen richteten.
>> LockBit3.0s Neustart: Obwohl LockBit für 78 Vorfälle verantwortlich war, verlor die Gruppe aufgrund von Strafverfolgungsmaßnahmen an Einfluss. Viele ihrer Mitglieder wechselten zu anderen Gruppen.
>> Aufstrebende Akteure: Erst kürzlich beobachtete Gruppen wie Eldorado und Play konzentrierten sich auf Schwachstellen in virtuellen Netzwerkanwendungen und Remote-Diensten. Sie nutzten Tools, die auf kritische Umgebungen zugeschnitten sind.

Ransomware-Gruppe nutzen zunehmend Schwachstellen in VPN-Anwendungen und Fernzugriffssystemen aus. Sie kombinieren diese Exploits oft mit Angriffen auf Zugangsdaten, um die Multi-Faktor-Authentifizierung zu umgehen. Diese modernen Techniken zur lateralen Ausbreitung und die Ausrichtung auf virtuelle Umgebungen zeigen, dass ihre Methoden immer ausgefeilter werden.

Eine fragmentierte und eskalierende Bedrohungslandschaft
Das Ransomware-Ökosystem fragmentiert sich weiter: Während neue Gruppen entstehen, passen sich etablierte Akteure ständig weiter an. Diese Entwicklung, kombiniert mit dem Übergang einiger Akteure von reiner Erpressung hin zu operativer Sabotage, zeigt die wachsende Überschneidung von Cyberkriminalität und Cyberkrieg. Dragos schätzt mit mäßiger Zuversicht, dass Ransomware-Angriffe auf Industrieunternehmen weiter zunehmen werden, angetrieben sowohl von finanziell als auch ideologisch motivierten Akteuren.

Um diesen Bedrohungen zu begegnen, sollten Unternehmen robuste Cybersicherheitsmaßnahmen umsetzen. Dazu zählen die Überwachung kritischer Ports, die konsequente Nutzung von Multi-Faktor-Authentifizierung (MFA), regelmäßige Offline-Backups und ein gesicherter Fernzugriff. Darüber hinaus ist es wichtig, das Personal besser zu schulen und die Netzwerkarchitektur kontinuierlich zu überprüfen, um sich gegen neue Strategien zu verteidigen. Mit der zunehmenden Fragmentierung und Anpassung der Ransomware-Landschaft werden proaktive Abwehrmaßnahmen, der Informationsaustausch und die Zusammenarbeit weiterhin unerlässlich sein, um kritische Infrastrukturen und industrielle Abläufe zu schützen. (Dragos: ra)

eingetragen: 24.04.25

Dragos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

E-Mail-Marketing-Service von Salesforce KI verändert Bedrohungslandschaft

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen