Thought Leadership
Eine Zscaler-Analyse zeigt eine Zunahme von Ransomware-Attacken. Cyberkriminelle setzen verstärkt auf Datenerpressung statt Verschlüsselung. Die USA ist weiterhin Hauptziel der Angreifer, Deutschland auf dem vierten Platz.
Ransomware-Gruppen haben ihre Angriffstaktiken grundlegend verändert und setzen zunehmend auf Datendiebstahl als Druckmittel. Das geht aus dem aktuellen ThreatLabz 2025 Ransomware Report von Zscaler hervor, der diese Entwicklung im Bereich der Cyberkriminalität dokumentiert.
Drastischer Anstieg der Angriffe
Die Zahlen des Cloud-Sicherheitsanbieters sprechen eine deutliche Sprache: Im Vergleich zum Vorjahr verzeichnete Zscaler einen Anstieg der in der eigenen Cloud abgewehrten Ransomware-Angriffsversuche um 146 Prozent. Parallel dazu explodierten die Mengen gestohlener Daten von 123 TB auf 238 TB – ein Zuwachs von 92 Prozent.
“Die Ransomware-Taktiken entwickeln sich kontinuierlich weiter”, erklärt Deepen Desai, EVP Cybersecurity bei Zscaler. Der Fokus habe sich von der reinen Verschlüsselung hin zu einer Kombination aus Datendiebstahl und Erpressung verschoben. Diese Verlagerung ermögliche es Angreifern, erheblich mehr Druck auf ihre Opfer auszuüben.
Fertigung, Technologie und Gesundheitswesen im Visier
Bei der Zielauswahl konzentrieren sich Cyberkriminelle weiterhin auf besonders sensible Branchen. Die Fertigung führt mit 1.063 dokumentierten Angriffen die Statistik an, gefolgt vom Technologiesektor (922 Angriffe) und dem Gesundheitswesen (672 Angriffe).
Auffällig ist die Entwicklung im Öl- und Gassektor, der einen dramatischen Anstieg von über 900 Prozent bei Ransomware-Angriffen verzeichnete. Als Ursachen nennt der Report die zunehmende Automatisierung kritischer Infrastrukturen wie Bohrinseln und Pipelines sowie veraltete Sicherheitspraktiken in der Branche.
USA tragen Hauptlast der Angriffe
Die geografische Verteilung der Ransomware-Angriffe zeigt ein klares Ungleichgewicht: Auf die USA entfielen mit 3.671 Attacken rund 50 Prozent aller weltweit registrierten Angriffe. Damit übersteigt die Zahl der US-Angriffe die Gesamtsumme aller anderen Top-15-Länder. Deutschland landet mit 3,6 Prozent der Angriffe auf Platz vier der am stärksten betroffenen Länder, hinter Kanada (5,2 Prozent) und Großbritannien (4,6 Prozent).
Neue Akteure und etablierte Gruppen
Im Ransomware-Ökosystem hat sich RansomHub mit 833 öffentlich dokumentierten Opfern an die Spitze der aktivsten Gruppen gesetzt. Dahinter folgen Akira mit 520 Opfern und Clop mit 488 betroffenen Organisationen. Clop setzt dabei besonders auf Angriffe gegen die Lieferkette und nutzt Schwachstellen in weit verbreiteter Drittsoftware.
Die Zscaler-Forscher identifizierten im vergangenen Jahr 34 neue Ransomware-Familien, wodurch die Gesamtzahl seit Beginn der Untersuchungen auf 425 anstieg. Das Unternehmen pflegt ein öffentliches GitHub-Repository mit mittlerweile 1.018 Ransomware-Indikatoren.
Forschungsmethodik
Für die Erstellung des Reports wurden unterschiedliche Datenquellen herangezogen, um Ransomware-Trends zu identifizieren und zu verfolgen. Das ThreatLabz-Team hat zwischen April 2024 und April 2025 Daten aus verschiedenen Quellen gesammelt, darunter die globale Sicherheitscloud von Zscaler und die eigene Analyse von Ransomware-Beispielen und Angriffsdaten erstellt.
(lb/Zscaler)
