Thought Leadership
Der neue Ransomware-Report von Check Point Software Technologies zeigt, dass die Bedrohung durch Erpressungssoftware auch im dritten Quartal 2025 hoch bleibt.
Zwischen Juli und September wurden mehr als 85 aktive Data Leak-Seiten identifiziert, auf denen rund 1.592 neue Opfer gelistet waren. Im Vergleich zum Vorjahr ist dies ein Anstieg von 25 Prozent. Pro Monat fallen damit durchschnittlich etwa 520 bis 540 Unternehmen den Angriffen zum Opfer – ein historisches Hoch.
Fragmentierung des Ransomware-Marktes
Die Landschaft der Ransomware-Gruppen hat sich weiter fragmentiert. Immer mehr kleine, schnell wachsende Gruppen operieren unabhängig von großen Ransomware-as-a-Service-Anbietern. Insgesamt wurden im dritten Quartal 45 neue Akteure gezählt, die teilweise eigene Data Leak-Seiten betreiben. Dies zeigt, dass der Markt trotz Schließungen bekannter Plattformen wie RansomHub, 8Base oder BianLian weiterhin dynamisch ist.
Abbildung: Aktivität von Ransomware-Gruppen nach der Anzahl der öffentlich gemeldeten Opfer in Q3 2025.
(Darstellung von Check Point Software Technologies Ltd.)
Trotz gezielter Takedowns durch Strafverfolgungsbehörden sinkt die Zahl der Angriffe nicht signifikant. Viele Betreiber wechseln einfach zu anderen Plattformen oder starten eigene Seiten. Die Maßnahmen wirken somit oft nur kurzfristig und betreffen vor allem die Infrastruktur und Administratoren der RaaS-Anbieter, nicht jedoch die Angreifer, die die Angriffe tatsächlich ausführen.
Steigende Opferzahlen einzelner Gruppen
Einige Gruppen konnten ihre Aktivitäten im Quartal deutlich steigern. So verdoppelte Qilin seine monatlichen Opferzahlen auf rund 75, INC Ransomware erreichte 39 pro Monat und Play stieg auf 33 Opfer. Die zunehmende Fragmentierung wirkt sich jedoch negativ auf die Glaubwürdigkeit der Gruppen aus. Kleinere Akteure liefern seltener Entschlüsselungsschlüssel nach Zahlung, was die Zahlungsbereitschaft der Opfer senkt.
Die meisten Opfer stammen aus den USA, die etwa die Hälfte der Fälle ausmachen. In Europa sind Deutschland und Großbritannien besonders betroffen. Branchen wie industrielle Fertigung, Unternehmensdienstleistungen und das Gesundheitswesen stehen weiterhin im Fokus, da hier hohe Ausfallkosten und sensible Daten die Attraktivität für Angreifer erhöhen.
Rückkehr von LockBit
Im Darkweb wurde die mutmaßliche Wiederauferstehung von LockBit beobachtet. Anfang September 2025 startete LockBit 5.0 mit neuen Partneranforderungen. Erste Opferzahlen zeigen, dass die Gruppe erneut aktiv ist und mit ihrer Erfahrung sowie niedrigeren Einstiegshürden für neue Partner Unternehmen bedroht.
Der Ransomware-Markt bleibt hochdynamisch, fragmentiert und anpassungsfähig. Trotz polizeilicher Maßnahmen nehmen die Angriffe weiter zu, kleine Gruppen übernehmen zunehmend die operative Rolle, während große Plattformen verschwinden. Die Bedrohung durch Erpressungssoftware erfordert kontinuierliche Beobachtung, schnelle Anpassung von Sicherheitsstrategien und internationale Zusammenarbeit.
Check Point betont, dass die Zukunft der Ransomware in Automatisierung, Informationsaustausch und Agilität liegt, was auch für die Verteidigungsstrategien entscheidend ist.
