Trends und Muster bei Ransomware-Gruppen


Dragos Industrial Ransomware Analyse: Deutschland unter den am stärksten von Ransomware-Angriffen betroffenen Ländern
Ransomware-Angriffe in Deutschland folgen einem breiteren europäischen Muster, bei dem Angreifer Sektoren mit einer geringen Toleranz für Betriebsausfälle priorisieren


Von Abdulrahman H. Alamri, Senior Intel Analyst II bei Dragos

Deutschland war laut der "Dragos Industrial Ransomware Analyse" im dritten Quartal 2024 eines der am stärksten von Ransomware-Angriffen betroffenen Ländern Europas. Rund 22 Prozent der weltweiten Ransomware-Aktivitäten fanden in Europa statt, wobei Deutschland, Großbritannien und Italien am häufigsten angegriffen wurden. Besonders betroffen waren die Sektoren Fertigung, Transport und Technologie. Diese Vorfälle weisen auf einen besorgniserregenden Trend hin: Cyberkriminelle greifen gezielt kritischen Infrastrukturen von Industrienationen an.

Regionalen Auswirkungen: Deutschland im Fokus
Ransomware-Angriffe in Deutschland folgen einem breiteren europäischen Muster, bei dem Angreifer Sektoren mit einer geringen Toleranz für Betriebsausfälle priorisieren. Die Cybersicherheitsexperten von Dragos konnten zwar keine direkten Angriffe auf OT-Assets (Operational Technology) beobachten, dennoch verursachten Ausfallzeiten durch Ransomware in IT-Umgebungen schwerwiegende Störungen industrieller Prozesse. Diese Störungen führten zu finanziellen Verlusten, Produktionsverzögerungen und Sicherheitsrisiken, die durch die Vernetzung von IT- und OT-Systemen noch verstärkt wurden.

Ein bemerkenswerter Vorfall war der Cyberangriff auf die Arntz Optibelt Group im August 2024, einen führenden deutschen Hersteller von Riemenantrieben. Der Angriff führte zu einer erheblichen Störung der IT-Infrastruktur des Unternehmens und zeigt, dass Ransomware-Kampagnen sich auch ohne direkten OT-Einfluss erheblich auf Industrieunternehmen auswirken können.

Trends und Muster bei Ransomware-Gruppen
Das dritte Quartal 2024 zeigte, wie dynamisch und anpassungsfähig Ransomware-Gruppen sind. Internationale Strafverfolgungsmaßnahmen wie Operation Cronos führten zu erheblichen Rückschlägen für etablierte Gruppen, darunter LockBit3. Ihre Mitglieder mussten sich entweder anderen Gruppen wie RansomHub anzuschließen oder sich unter neue Namen zusammenzuschließen.

Neue und etablierte Ransomware-Gruppen nutzen neuartige Taktiken, Techniken und Verfahren (TTPs) ein, um einer Entdeckung zu entgehen und ihre Wirkung zu maximieren. Die wichtigsten Beobachtungen von Dragos sind:

>> RansomHubs Dominanz: Als aktivste Ransomware-Gruppe im dritten Quartal 2024 wurde RansomHub mit 90 Vorfällen weltweit in Verbindung gebracht, die sich aggressiv gegen Industrieunternehmen richteten.
>> LockBit3.0s Neustart: Obwohl LockBit für 78 Vorfälle verantwortlich war, verlor die Gruppe aufgrund von Strafverfolgungsmaßnahmen an Einfluss. Viele ihrer Mitglieder wechselten zu anderen Gruppen.
>> Aufstrebende Akteure: Erst kürzlich beobachtete Gruppen wie Eldorado und Play konzentrierten sich auf Schwachstellen in virtuellen Netzwerkanwendungen und Remote-Diensten. Sie nutzten Tools, die auf kritische Umgebungen zugeschnitten sind.

Ransomware-Gruppe nutzen zunehmend Schwachstellen in VPN-Anwendungen und Fernzugriffssystemen aus. Sie kombinieren diese Exploits oft mit Angriffen auf Zugangsdaten, um die Multi-Faktor-Authentifizierung zu umgehen. Diese modernen Techniken zur lateralen Ausbreitung und die Ausrichtung auf virtuelle Umgebungen zeigen, dass ihre Methoden immer ausgefeilter werden.

Eine fragmentierte und eskalierende Bedrohungslandschaft
Das Ransomware-Ökosystem fragmentiert sich weiter: Während neue Gruppen entstehen, passen sich etablierte Akteure ständig weiter an. Diese Entwicklung, kombiniert mit dem Übergang einiger Akteure von reiner Erpressung hin zu operativer Sabotage, zeigt die wachsende Überschneidung von Cyberkriminalität und Cyberkrieg. Dragos schätzt mit mäßiger Zuversicht, dass Ransomware-Angriffe auf Industrieunternehmen weiter zunehmen werden, angetrieben sowohl von finanziell als auch ideologisch motivierten Akteuren.

Um diesen Bedrohungen zu begegnen, sollten Unternehmen robuste Cybersicherheitsmaßnahmen umsetzen. Dazu zählen die Überwachung kritischer Ports, die konsequente Nutzung von Multi-Faktor-Authentifizierung (MFA), regelmäßige Offline-Backups und ein gesicherter Fernzugriff. Darüber hinaus ist es wichtig, das Personal besser zu schulen und die Netzwerkarchitektur kontinuierlich zu überprüfen, um sich gegen neue Strategien zu verteidigen. Mit der zunehmenden Fragmentierung und Anpassung der Ransomware-Landschaft werden proaktive Abwehrmaßnahmen, der Informationsaustausch und die Zusammenarbeit weiterhin unerlässlich sein, um kritische Infrastrukturen und industrielle Abläufe zu schützen. (Dragos: ra)

eingetragen: 24.04.25

Dragos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • LLMJacking nimmt DeepSeek ins Visier

    Sysdig stellt das Unternehmen ihre neusten Erkenntnisse zu LLMJacking vor. Dazu kommen der Einfluss von Deepseek auf LLMJacking Angriffe und Best Practices, um sich vor solchen Angriffen zu schützen. Seit der Entdeckung von LLMjacking durch das Sysdig Threat Research Team (TRT) im Mai 2024 haben wir ständig neue Erkenntnisse und Anwendungen dieser Angriffe beobachtet. So wie sich große Sprachmodelle (LLMs) schnell weiterentwickeln und wir alle noch lernen, wie man sie am besten nutzt, entwickeln sich auch die Angreifer weiter und erweitern ihre Anwendungsfälle für den Missbrauch.

  • Was ist OT Cyber Threat Intelligence?

    Cyber Threat Intelligence (CTI) beschreibt das Sammeln, Verarbeiten, Analysieren, Verbreiten und Integrieren von Informationen über aktive oder aufkommende Cyber-Bedrohungen. Der wesentliche Zweck von CTI besteht darin, bösartige Cyber-Aktivitäten und -Gegner aufzudecken und dieses Wissen den Entscheidungsträgern im Unternehmen zur Verfügung zu stellen.

  • Schwachstellen in der IT-Infrastruktur

    Hat der VW-Konzern ein Datenleck wird darüber in allen Medien berichtet, doch VW und andere Großkonzerne mit Cybersicherheitsschwierigkeiten stellen nur die Spitze des Eisbergs dar. Das Rückgrat der deutschen Wirtschaft bilden die kleinen und mittelständischen Unternehmen (KMU), zu denen rund 99 Prozent aller Unternehmen in Deutschland zählen. Diese Unternehmen sind praktisch jeden Tag zahlreichen Angriffsversuchen aller Art ausgesetzt. Sie stellen in den Augen der Angreifer oft die Ziele dar, die den geringsten Widerstand leisten. Dadurch wirken sie für Angreifer besonders attraktiv. Auch wenn Erpressungsversuche etc. bei KMU meist nicht die Summen einbringen, wie das bei Großkonzernen der Fall ist, ist es die "Masse", die es letztlich für die Angreifer unterm Strich lukrativ macht.

E-Mail-Marketing-Service von Salesforce KI verändert Bedrohungslandschaft

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen