EDR-Killer und Post-Quanten-Kryptografie verschärfen die Ransomware-Bedrohung
Mit neuen Methoden umgehen Ransomware-Gruppen gängige Schutzmechanismen. Gleichzeitig bewegen sie sich weg von reiner Verschlüsselung und hin zum Handel mit gestohlenen Daten. Kaspersky analysiert die aktuelle Bedrohungslage anlässlich des diesjährigen internationalen Anti-Ransomware-Tags.
Ransomware gehört heute zu den grössten Cyberbedrohungen. Ransomware-Gruppen gehen immer professioneller vor und ändern ständig ihre Taktiken, um sich an neue Methoden der Cyberabwehr anzupassen und Schutzmechanismen zu umgehen, wie Kaspersky mitteilt. Zum internationalen Anti-Ransomware-Tag 2026 am 12. Mai gibt der russische Cybersecurity-Anbieter einen Ausblick auf die aktuelle Bedrohungslandschaft.
Bedrohung durch neue Technologie
Obwohl 2025 prozentual weniger Unternehmen von Ransomware-Angriffen betroffen waren als im Jahr zuvor, schätzt Kaspersky das Risiko weiterhin als hoch ein. Lateinamerika habe mit 8,1 Prozent den höchsten Anteil angegriffener Unternehmen, Europa befinde sich mit 3,8 Prozent auf Platz 6.
Ransomware-Gruppen setzen laut Mitteilung zunehmend auf sogenannte "EDR-Killer" (Endpoint Detection and Response). Diese würden Schutzmassnahmen auf Endgeräten deaktivieren, bevor die eigentliche Schadsoftware zum Zug komme. Dazu würden gewisse Ransomware-Familien sogar bereits Post-Quanten-Kryptografie einsetzen – eine Verschlüsselungstechnologie, die selbst Angriffen durch Quantencomputer standhalten soll.
Fokus auf Erpressung
Die Gruppe "Qilin" griff laut Mitteilung rund 11 Prozent der betroffenen Unternehmen an, "Clop" 10,2 Prozent und "Akira" 9,9 Prozent. Rund 49 Prozent der Unternehmen seien jedoch von kleineren Gruppierungen angegriffen worden.
Zu diesen bekannten Namen gesellt sich gemäss Kaspersky die neue Gruppe "The Gentlemen". Sie falle durch ihre strukturierte Vorgehensweise auf und sei zunehmend auf datenzentrierte Erpressung fokussiert. Dies ist laut Mitteilung "beispielhaft für den grundlegenden Wandel im Ransomware-Ökosystem: weg von auffälligen, breit angelegten Kampagnen hin zu skalierbaren, geschäftsähnlichen Erpressungsmodellen".
Handel mit Zugangsdaten
Zudem haben sich in Telegram-Kanälen und Darknet-Foren Märkte für kompromittierte Datensätze und Zugangsdaten entwickelt, wie Kaspersky weiter schreibt. Auch wenn Behörden von Zeit zu Zeit solche Foren entdecken und beschlagnahmen, entstehen laut Mitteilung ständig neue derartige Plattformen.
Fabio Assolini, Lead Security Researcher bei Kaspersky. (Source: Screenshot / linkedin.com)
"Ransomware hat sich zu einem hochorganisierten Ökosystem entwickelt, das darauf abzielt, gestohlene Daten zu monetarisieren, Abwehrmechanismen zu deaktivieren und Angriffe mit professioneller Effizienz durchzuführen", sagt Fabio Assolini, Lead Security Researcher im Global Research and Analysis Team von Kaspersky. "Wir appellieren an alle User, mehrschichtige Abwehrmechanismen einzurichten, in Backups zu investieren und ihre Cyberkompetenz zu verbessern, um Angriffe abzuwehren."
Übrigens wurde kürzlich eine Sicherheitslücke in der Server-Software cPanel entdeckt, die als Einfallstor für Ransomware dient. Lesen Sie hier mehr dazu.
BAG will US-Techkonzerne von Digitalisierungsprojekt ausschliessen
EDR-Killer und Post-Quanten-Kryptografie verschärfen die Ransomware-Bedrohung
Watchguard stellt KI-Agent für MSPs vor
Wanderin landet versehentlich beim Rat von Elrond
Swiss Post Cybersecurity partnert mit Swisssign
Phishing-Welle trifft Bexio-Kundschaft
Zu viel Persönlichkeit: Deshalb ist der Computer in Star Trek kein Australier
Sicherheitsverantwortliche aufgepasst! Check Point lädt zur Advantage in Bern am 9. Juni
Wie digitale Souveränität greifbar wird
