Ransomware-Attacken: Höhere Lösegelder, KI und gezielte Zerstörung

Die Bedrohung durch Ransomware eskaliert dramatisch. Neue Berichte zeigen explodierende Lösegeldforderungen, den Einsatz von Künstlicher Intelligenz durch Angreifer und eine gefährliche Hinwendung zu zerstörerischen Attacken. Für Unternehmen weltweit wird die Lage immer bedrohlicher.

Angesichts der dramatisch steigenden Schäden durch Cyberkriminelle ist eine proaktive Absicherung der IT-Infrastruktur für Unternehmen überlebenswichtig. Dieser Experten-Report enthüllt effektive Strategien, wie sich insbesondere mittelständische Betriebe ohne Budget-Explosion gegen Angreifer wappnen können. Effektive Strategien gegen Cyberkriminelle entdecken

Lösegeldforderungen schnellen in die Millionen

Die finanziellen Folgen von Ransomware-Angriffen haben ein neues Rekordniveau erreicht. Laut dem BakerHostetler Data Security Incident Response Report 2026 stieg die durchschnittliche Erstforderung der Erpresser 2025 um 70 Prozent auf alarmierende 4,2 Millionen US-Dollar. Im Schnitt zahlten betroffene Organisationen dann noch immer 682.702 Dollar, ein Plus von 36 Prozent. Der Gesundheitssektor war mit 27 Prozent der analysierten Vorfälle am stärksten betroffen.

Die wahre Kostenlast liegt jedoch weit höher. Zu den Lösegeldzahlungen kommen massive Ausfälle, Umsatzeinbußen, Imageschäden und hohe Wiederherstellungskosten. Die rechtlichen Risiken wachsen ebenfalls: In 14 Prozent der gemeldeten Vorfälle wurden Klagen eingereicht. Während Phishing mit 30 Prozent die häufigste Angriffsursache blieb, deuten undurchsichtige Netzwerkangriffe (34 Prozent) auf immer raffiniertere Methoden hin.

Vom Erpressen zur Zerstörung: Der Fall Pay2Key

Die Motive der Angreifer scheinen sich zu wandeln. Ein aktueller Bericht des Sicherheitsunternehmens Halcyon beschreibt einen Angriff der mutmaßlich mit dem Iran verbundenen Gruppe Pay2Key auf einen US-Gesundheitsdienstleister. Anders als üblich fand hier keine Datendiebstahl statt – die Angreifer konzentrierten sich ganz auf zerstörerische Aktionen.

Diese Entwicklung passt zu Beobachtungen, wonach Pay2Key zu einem Ransomware-as-a-Service-Modell (RaaS) mutiert ist. Die Gruppe, die früher israelische Systeme ins Visier nahm, richtet ihren Fokus nun verstärkt auf Ziele in den USA. Die zunehmende Betonung von Zerstörung statt rein finanzieller Erpressung markiert eine gefährliche Eskalation, die die Betriebsfähigkeit von Unternehmen fundamental bedroht.

KI als Turbo und der Angriff auf die Rettungsanker

Künstliche Intelligenz wird für Cyberkriminelle zum entscheidenden Beschleuniger. Der M-Trends 2026 Report von Mandiant bestätigt, dass Angreifer KI in kompromittierten Umgebungen nutzen, um ihren Angriffszyklus zu verkürzen. Es tauchen Schadprogramme wie PROMPTFLUX und PROMPTSTEAL auf, die während ihrer Ausführung große Sprachmodelle (LLMs) abfragen, um die Entdeckung zu umgehen.

Da Phishing weiterhin die häufigste Ursache für erfolgreiche Systemkompromittierungen bleibt, ist der Schutz der Mitarbeiter vor manipulativen Hacker-Methoden essenziell. Dieser Experten-Guide bietet eine konkrete 4-Schritte-Anleitung zur erfolgreichen Abwehr von Phishing-Angriffen und zeigt branchenspezifische Gefahren auf. Kostenlosen Anti-Phishing-Guide herunterladen

Gleichzeitig verfolgen Ransomware-Gruppen eine neue, brutale Strategie: die „Recovery Denial“. Angreifer zielen systematisch auf Backups, Identitätsdienste und Virtualisierungs-Systeme ab, um die Wiederherstellungsfähigkeit des Opfers zu zerstören. Gruppen wie die hinter REDBIKE (Akira) und AGENDA (Qilin) nutzen fehlkonfigurierte Active-Directory-Zertifikate, um Admin-Konten zu erstellen, und löschen gezielt Sicherungskopien aus Cloud-Speichern. Der häufigste Infektionsweg war 2025 mit 30 Prozent eine bereits bestehende Kompromittierung des Systems.

Alte Bekannte und Zero-Day-Lücken

Während neue Taktiken aufkommen, bleiben etablierte Gruppen höchst aktiv. Die Akira-Ransomware-Bande meldete allein am 24. März fünf neue Opfer in den USA, darunter aus Bauwesen und Rechtswesen. Die Bedrohung ist allgegenwärtig.

Hinzu kommt die Ausbeutung bisher unbekannter Sicherheitslücken (Zero-Day). So nutzte die Ransomware Interlock die Schwachstelle CVE-2026-20131 in Cisco Firewall-Management-Systemen bereits 36 Tage vor der öffentlichen Bekanntgabe aus. Diese „Head-Start“-Phase verschafft Angreifern einen enormen Vorsprung und unterstreicht die Notwendigkeit schneller Updates.

Paradigmenwechsel in der Cyber-Erpressung

Die aktuellen Entwicklungen markieren einen grundlegenden Wandel. Ransomware ist kein opportunistisches Verbrechen mehr, sondern ein hochzielgerichtetes, vielschichtiges Geschäftsmodell. Die explodierenden Forderungen zeigen das gestiegene Selbstbewusstsein der Täter. Die Hinwendung zu zerstörerischen Aktionen, wie bei Pay2Key, deutet zudem auf geopolitische Motive jenseits finanzieller Gewinne hin.

Die Kombination aus KI-gestützter Automatisierung und der gezielten Zerstörung von Backup-Infrastruktur stellt die Abwehr vor immense Herausforderungen. Traditionelle Sicherheitsmaßnahmen reichen nicht mehr aus. Unternehmen müssen ihre Resilienz stärken, indem sie nicht nur Angriffe verhindern, sondern auch ihre Fähigkeit zur schnellen Wiederherstellung absichern. Der Kampf gegen Ransomware wird zur Überlebensfrage.

boerse | 69001913 |