Thought Leadership
Ein aktueller State-of-the-Internet-Bericht von Akamai Technologies zeigt eine alarmierende Entwicklung in der Cybercrime-Szene: Neben der bekannten doppelten Erpressung setzen Angreifer inzwischen auf eine „vierfache Erpressung“.
Bei der bisherigen doppelten Erpressung verschlüsseln Kriminelle die Daten des Opfers und drohen, sie zu veröffentlichen, falls kein Lösegeld gezahlt wird. Die neue Variante erweitert diesen Ansatz um zwei zusätzliche Komponenten: DDoS-Angriffe, die den Geschäftsbetrieb lahmlegen, und die gezielte Kontaktaufnahme zu externen Parteien wie Kunden, Partnern oder Medien, um den Druck auf das Opfer zu maximieren.
Laut Steve Winterfeld, Advisory CISO bei Akamai, sind Ransomware-Angriffe längst mehr als reine Verschlüsselungsdelikte. Sie entwickeln sich zu umfassenden Geschäftskrisen, da Angreifer gestohlene Daten, Serviceausfälle und öffentliche Bloßstellung kombinieren. Unternehmen müssen ihre Abwehrstrategien und Reaktionspläne deshalb deutlich überdenken.
Der Bericht stellt fest, dass generative KI und Large Language Models (LLMs) die Angriffe beschleunigen. Auch technisch weniger versierte Täter können damit Ransomware-Code entwickeln und ihre Social-Engineering-Methoden verfeinern. Das erleichtert den Einstieg in komplexe Angriffskampagnen erheblich.
Hybride Gruppen und RaaS
Eine weitere Entwicklung ist die Zunahme hybrider Gruppen, die sowohl hacktivistische als auch kriminelle Ziele verfolgen. Sie nutzen Ransomware-as-a-Service (RaaS)-Plattformen, um Reichweite und Schlagkraft zu erhöhen.
Beispiel: 2024 entstand „Dragon RaaS“ als Ableger der Gruppe Stormous. Statt große Konzerne ins Visier zu nehmen, konzentrieren sich diese Akteure inzwischen auf kleinere Unternehmen mit schwächeren Sicherheitsstrukturen.
Auch Kryptominer werden im Bericht als Bedrohung genannt. Ihre Angriffsziele ähneln denen klassischer Ransomware-Gruppen. Besonders betroffen sind gemeinnützige Organisationen und Bildungseinrichtungen, die oft nicht über ausreichende IT-Sicherheitsressourcen verfügen. Fast die Hälfte der analysierten Kryptomining-Angriffe traf solche Einrichtungen.
Die bekannte Malware-Familie TrickBot wird seit Jahren von Ransomware-Gruppen weltweit genutzt. Nach Angaben des Akamai-Guardicore-Hunt-Teams erpresste sie seit 2016 mehr als 724 Millionen US-Dollar in Kryptowährungen. Jüngst wurde sie auf den Systemen mehrerer Kunden mit verdächtigen geplanten Aufgaben entdeckt.
Gesetzliche Rahmenbedingungen und Schutzstrategien
James A. Casey, Chief Privacy Officer bei Akamai, verweist auf bestehende Cybersicherheitsgesetze, die auch für Ransomware gelten. Einige Regelungen sind speziell darauf ausgerichtet, Lösegeldzahlungen zu verhindern.
Besonders wirksam seien Zero-Trust-Architekturen und Mikrosegmentierung, kombiniert mit robusten Incident-Response-Plänen und kontinuierlichem Risikomanagement. Unternehmen sollten ihre Abwehrmaßnahmen regelmäßig an neue Bedrohungslagen anpassen.
Die vierfache Erpressung markiert eine neue Eskalationsstufe im Ransomware-Geschäft. Technologische Entwicklungen wie KI senken die Einstiegshürden für Angreifer, während hybride Gruppen und Kryptominer das Bedrohungsfeld erweitern. Unternehmen sind gefordert, sowohl ihre technischen Schutzmaßnahmen als auch ihre organisatorische Resilienz konsequent zu stärken.
