Ransomware auf dem Vormarsch, Erpressungen erreichen neue Ausmaße: Ransomware-Report von ThreatLabz 2025

Ransomware stellt nach wie vor eine der hartnäckigsten Bedrohungen für Unternehmen und Organisationen des öffentlichen Sektors dar. Laut aktuellen ThreatLabz-Analysen steigen Angriffe nicht nur quantitativ, sondern entwickeln sich auch hin zu gezielteren, datenbasierten Erpressungsmethoden.

Der kürzlich veröffentlichte Zscaler ThreatLabz 2025 Ransomware Report untersucht die jährlichen Spitzenwerte der von der Zscaler Cloud blockierten Ransomware-Aktivitäten sowie den deutlichen Anstieg öffentlich bekannt gewordener Erpressungsfälle. Diese Erkenntnisse machen eines deutlich: Die heutige Ransomware-Bedrohungslandschaft erfordert ein neues Maß an Wachsamkeit und eine Sicherheitsarchitektur, die sich grundlegend von herkömmlichen Sicherheitsmodellen unterscheidet.

Dieser Blogbeitrag hebt ausgewählte Ergebnisse des Reports hervor. Die vollständige Analyse – einschließlich Angriffstrends, Profilen von Bedrohungsakteuren und Sicherheitshinweisen – finden Sie im Ransomware-Report von ThreatLabz 2025.

5 wichtige Erkenntnisse zu Ransomware

Das ThreatLabz-Forschungsteam analysierte die Ransomware-Aktivitäten von April 2024 bis April 2025 und untersuchte dabei öffentliche Dataleak-Websites, eigene Bedrohungsinformationen von Zscaler, Ransomware-Beispiele, Angriffsdaten und Telemetriedaten aus der Zscaler Zero Trust Exchange. Hier sind fünf wichtige Erkenntnisse aus dem diesjährigen Report:

1. Ransomware-Angriffe sind im Vergleich zum Vorjahr um 145,9 % sprunghaft angestiegen: Dieser enorme Anstieg verdeutlicht, dass Angreifer ihre Kampagnen schneller als je zuvor ausweiten, wobei Zscaler im vergangenen Jahr so viele Angriffe wie nie zuvor abgewehrt hat. 
2. Die Zahl der bekannt gewordenen Erpressungsfälle stieg um 70,1 %: Im Vergleich zum Vorjahr wurden weitaus mehr Unternehmen auf Ransomware-Leak-Websites aufgeführt, da Angreifer ihre Druckmittel verschärfen.
3. Die Menge exfiltrierter Daten stieg um 92,7 %: ThreatLabz analysierte 10 große Ransomware-Familien und deckte insgesamt 238,5 TB exfiltrierte Daten auf – ein Beweis dafür, dass Datendiebstahl Erpressungskampagnen begünstigt.
4. Kritische Branchen sind weiterhin Hauptziele: Die Branchen Fertigung, Technologie und Gesundheitswesen verzeichneten die höchste Anzahl an Ransomware-Angriffen. In Sektoren wie Öl und Gas (+935 %) und Behörden (+235 %) kam es im Vergleich zum Vorjahr zu einem deutlichen Anstieg.
   
5. Ransomware-Gruppen entwickeln sich schnell weiter: Etablierte Familien wie RansomHub, Clop und Akira waren weiterhin führend, wobei laut ThreatLabz 34 neue Gruppen entstanden sind – darunter umbenannte oder Ableger aufgelöster Gruppen sowie neue Gruppen, die die Lücken füllen möchten, die durch Zerschlagungen oder andere Störungen entstanden ist. Zusammen genommen zeigen sie, wie dynamisch und schnelllebig das Ransomware-Ökosystem ist, in dem Angreifer kontinuierlich neue Strategien entwickeln.
   

Aktuelle Trends: Erpressung statt Verschlüsselung, Einsatz von generativer KI und strategische Ziele

Der Ransomware-Report von ThreatLabz 2025 befasst sich mit mehreren entscheidenden Trends bei der heutigen Durchführung von Ransomware-Angriffen:

• In vielen Fällen steht die Datenexfiltration und die darauf folgende Erpressung im Vordergrund. Einige Angreifer verzichten gänzlich auf die Verschlüsselung von Dateien und entscheiden sich stattdessen dafür, sensible Daten zu stehlen und mit der Veröffentlichung dieser Daten auf Leak-Websites zu drohen. Bei diesen Kampagnen wird mit Reputationsschäden, Gesetzesverstößen und dem Verlust von geistigem Eigentum gedroht, um die Opfer unter Druck zu setzen, sodass sie auch dann zahlen, wenn ihre Daten nicht verschlüsselt sind.
• Generative KI beschleunigt Ransomware-Aktivitäten. ThreatLabz hat beobachtet, wie eine berüchtigte Ransomware-Gruppe ChatGPT zur Unterstützung ihrer Angriffe einsetzte. Mithilfe von generativer KI können Angreifer wichtige Aufgaben automatisieren und Code schreiben, um ihre Aktivitäten zu optimieren und die Wirksamkeit ihrer Angriffe zu verbessern.
• Die Ziele werden individueller ausgewählt. Ransomware-Angreifer haben sich weitgehend von herkömmlichen groß angelegten Spam-Kampagnen, die eher zufällig erfolgen, abgewandt und bevorzugen nun gezieltere Angriffe, bei denen sie sich als IT-Mitarbeiter ausgeben, um Mitarbeiter mit Zugriffsrechten anzusprechen.

Im vollständigen Report erfahren Sie mehr über diese Trends.

Die treibenden Ransomware-Gruppen

Der Report bietet auch einen detaillierten Überblick über die Ransomware-Gruppen, die für die jüngste Zunahme der Angriffe verantwortlich sind. Zu den aktivsten Gruppen im vergangenen Jahr gehörten RansomHub, Clop und Akira, die für einen Großteil der Fälle auf Leak-Websites verantwortlich waren.

Das ThreatLabz-Forschungsteam identifizierte außerdem die fünf wichtigsten Ransomware-Gruppen, die Sie im nächsten Jahr im Auge behalten sollten – Familien, die beispielhaft dafür stehen, wie Ransomware immer skalierbarer wird und sich zunehmend auf die Erpressung von Lösegeld konzentriert.

Die Taktiken variieren stark zwischen den Gruppen. ThreatLabz beobachtete Strategien wie:

• Heimlicher Datendiebstahl, der die Business Continuity nicht beeinträchtigt
• Von Partnern durchgeführte Ransomware-as-a-Service-Kampagnen, die gemeinsame Infrastrukturen, Tools und Services nutzen
• Lösegeldforderungen, die Gesetzesverstöße ausnutzen, um den Druck auf die Opfer zu erhöhen

Sicherheitslücken bleiben das wichtigste Einfallstor

Ein konstantes und entscheidendes Thema bei Ransomware-Angriffen ist die Rolle von Sicherheitslücken als direkter Weg zum Erstzugriff. Weit verbreitete Unternehmenstechnologien – darunter VPNs, Anwendungen zur Dateiübertragung, Remotezugriffstools, Virtualisierungssoftware und Backup-Plattformen – werden weiterhin von Ransomware-Akteuren als Angriffspunkte ausgenutzt.

Der Report enthält detaillierte Beispiele für mehrere wichtige Sicherheitslücken, die im vergangenen Jahr in Ransomware-Kampagnen ausgenutzt wurden. In den meisten Fällen verschafften sich die Angreifer durch einfaches Scannen und automatisierte Verwendung von mit dem Internet verbundenen Systemen Zugriff. Das verdeutlicht eine unbequeme Wahrheit: Klassische Schutzmechanismen wie Firewalls und VPNs lassen zu viele Lücken, wodurch Angreifern laterale Ausbreitung, Datendiebstahl und Ransomware-Angriffe erleichtert werden.

Zero Trust: Der Standard zur Ransomware-Abwehr

Da Ransomware-Gruppen ihre Strategien ständig weiterentwickeln – z. B. sensible Daten ins Visier nehmen, um mit Reputationsschäden und Gesetzesverstößen zu drohen und so ihre Lösegeldforderungen durchzusetzen –, erfordert die Abwehr dieser Angriffe einen umfassenden, proaktiven Ansatz. Genau das bietet eine Zero Trust-Architektur, denn sie beseitigt die Faktoren, auf die sich Ransomware-Angreifer verlassen: auffindbare Infrastruktur, zu freizügige Zugriffsrechte und unkontrollierte Datenflüsse.

Die Zscaler Zero Trust Exchange bietet Schutz in jeder Phase eines Ransomware-Angriffs:

• Minimierung der Angriffsfläche: Die Zero Trust Exchange macht User, Geräte und Anwendungen für das Internet unsichtbar – es gibt keine öffentlichen IP-Adressen und keine exponierten Netzwerke. Dadurch wird die Angriffsfläche bereits in der ersten Erkundungsphase eliminiert und das Risiko drastisch reduziert.
• Verhinderung des Erstzugriffs: Die Inline-Überprüfung des gesamten Traffics, einschließlich verschlüsselter TLS/SSL-Traffic, in großem Maßstab stoppt Bedrohungen, bevor sie Schaden anrichten können. KI-gestützte Browser-Isolierung und Cloud-Sandboxing bilden mehrere zusätzliche Verteidigungsebenen, um Zero-Day-Angriffe und komplexe Bedrohungen zu neutralisieren – unterstützt durch erweiterte Bedrohungsinformationen von ThreatLabz.
• Unterbindung lateraler Bewegungen: App-to-App- und User-to-App-Segmentierung setzen den Zugriff mit minimaler Rechtevergabe durch und machen das Netzwerk überflüssig. Die typischen Pfade, auf denen Ransomware sich ausbreitet, entfallen somit. Integrierte Deception-Technologie vereitelt Angriffe zusätzlich mit Decoys und falschen User-Pfaden.
• Blockieren der Datenexfiltration: Da sich die heutigen Ransomware-Gruppen ebenso (wenn nicht sogar noch mehr) auf den Diebstahl sensibler Daten konzentrieren wie auf deren Verschlüsselung, sind die Überprüfung, die KI-gestützte Datenklassifizierung, die Inline-DLP (Data Loss Prevention) und die Browser-Isolierung von Zscaler unerlässlich, um unbefugte Datenübertragungen zu verhindern und sicherzustellen, dass sensible Daten das Unternehmen niemals verlassen.

Mit einer Zero-Trust-Architektur können Unternehmen kontrollieren, worauf User zugreifen, wie Daten übertragen werden und wie Ressourcen geschützt werden. So werden die Wege, auf denen Ransomware sich ausbreitet, effektiv unterbunden und das Risiko in jeder Phase eines Angriffs reduziert.

Report herunterladen – für umfassende Information und Vorbereitung

Der Ransomware-Report von ThreatLabz 2025 bietet Ihnen einen aktuellen, datengestützten Überblick über die sich entwickelnde Ransomware-Landschaft. Neben den in diesem Blogbeitrag behandelten Ergebnissen untersucht der vollständige Report die am stärksten betroffenen Länder, liefert aktuelle Informationen zu anderen bemerkenswerten Entwicklungen im Bereich der Bedrohungsakteure und erläutert, wie ThreatLabz umfassendere Maßnahmen zur Bekämpfung von Ransomware unterstützt. Darüber hinaus enthält er detaillierte Leitlinien zur Stärkung der Abwehrmaßnahmen und zum Aufbau von Resilienz gegen die heutigen Ransomware-Bedrohungen.

• Holen Sie sich noch heute Ihr Exemplar des vollständigen Reports, um über die neuesten Forschungsergebnisse zu Ransomware-Bedrohungen auf dem Laufenden zu bleiben.
• Nehmen Sie an unserem Webinar am Donnerstag, 31. Juli (AMS) und Dienstag, 5. August (EMEA, APAC) teil, um tiefergehende Informationen und Einblicke aus erster Hand zu erhalten: Ransomware-Report von ThreatLabz 2025: Was steckt hinter der jüngsten Angriffswelle?