Die Sicherheitsforscher von Check Point Research (CPR) vermelden in ihrem aktuellen Bericht ‚State of Ransomware‘ einen neuen Höchststand an durch Hacker bekannt gemachten Ransomware-Angriffe.
Demnach haben in diesem Zeitraum 74 verschiedene Ransomware-Gruppen öffentlich Opfer auf Data Leak Sites (DLS) gemeldet. Diese Gruppen sprechen von insgesamt 2.289 Opfer – mehr als doppelt so viele wie im gleichen Zeitraum des Vorjahres, (1.011 Fälle). Dies entspricht einem Anstieg von 126 Prozent im Vergleich zum Vorjahr.
Sogar nach Abzug der 300 Opfer, die auf die Massenenthüllung von Cl0p im Februar 2025 zurückzuführen sind, die mit der Ausnutzung der Dateiübertragungsplattform Cleo zusammenhängt, blieben die Zahlen historisch hoch, so Check Point. Der bereinigte Monatsdurchschnitt liegt bei über 650 Opfern, verglichen mit circa 450 pro Monat im gesamten Jahr 2024. Unter Einbeziehung von Cl0p steigt der Durchschnitt für Q1 auf 760 pro Monat und setzt damit einen neuen Höchstwert für Ransomware-Aktivitäten.
Laut den Sicherheitsforschern könnte dies einen einen wachsenden Trend unter den Bedrohungsakteuren widerspiegeln, das Ausmaß ihrer Angriffe zu übertreiben, einschließlich der Fälschung von Opferdaten, um eine größere Reichweite vorzutäuschen und potenzielle künftige Ziele einzuschüchtern. Gleichzeitig merkt Check Point an, dass Unternehmen, die schnell Lösegeld zahlen, in der Regel von der Veröffentlichung auf Leak-Sites ausgeschlossen sind. Das wahre Ausmaß von Ransomware-Vorfällen könnte demnach deutlich unterrepräsentiert sein.
Die aktivsten Ransomware-Gruppen in Q1 geordnet nach öffentlich bekannt gemachten Opfern waren Cl0p, Ransomhub und Babuk-Bjorka. Ein großer Teil der Angriffe verteilt sich jedoch auf kleinere Gruppen, die in der Grafik unter der Kategorie „Andere“ subsummiert sind.
Safepay in Deutschland die aktivste Ransomware-Gruppe
Die geografische Verteilung der Ransomware-Opfer im ersten Quartal 2025 spiegelt weiterhin die langjährigen Muster im Ransomware-Ökosystem wider. Wie in den Vorjahren entfiel etwa die Hälfte aller gemeldeten Opfer auf die Vereinigten Staaten von Amerika, was ihre Position als Hauptziel für finanziell motivierte Hacker unterstreicht. Außerdem stammen die meisten öffentlich gelisteten Opfer nach wie vor aus westlichen Industrienationen, in denen Organisationen über größere finanzielle Ressourcen verfügen und somit eine höhere Wahrscheinlichkeit herrscht, dass sie das Lösegeld zahlen.
Ein genauerer Blick auf die Opferdaten nach Ländern zeigt, dass einige Ransomware-Gruppen deutliche geografische Präferenzen aufweisen. In Großbritannien ist etwa die Medusa-Ransomware-Gruppe überproportional aktiv – sie ist für mehr als neun Prozent der gemeldeten Opfer verantwortlich, verglichen mit nur zwei Prozent der Opfer weltweit. Laut Check Point deutet dies auf eine gezielte Strategie oder eine stärkere operative Verankerung in der Region hin. Die Sektor-Verteilung der Ransomware-Opfer im ersten Quartal 2025 spiegelt zudem eine typische branchenübergreifende Art wider, wobei keine Branche besonders stark betroffen ist.
In Deutschland ist die Safepay-Ransomware-Gruppe sehr aktiv. Unter den 74 Ransomware-Opfern, die im ersten Quartal 2025 in Deutschland gemeldet wurden, war Safepay für 24 Pozent verantwortlich – der höchste Anteil einer Gruppe hierzulande. Weltweit war die Gruppe C10p die aktivste Gruppe, gefolgt von RansomHub und Babuk-Bjorka.
