Forschungsbericht: Trends im Bereich Erpressung und Ransomware

28. April 2025

Unit 42 von Palo Alto Networks hat die neuesten Trends im Bereich Erpressung und Ransomware für den Zeitraum Januar bis März 2025 veröffentlicht. Die Analyse umfasst qualitative Beobachtungen, die auf Incident-Response-Fällen sowie der aktuellen Bedrohungslandschaft basieren.

Die wichtigsten Erkenntnisse auf einen Blick:

• Zusammenarbeit mit staatlichen Akteuren: Unit 42 hat erstmals eine von der nordkoreanischen Regierung unterstützte Gruppe identifiziert, die direkt mit Ransomware-Banden zusammenarbeitet. Dies lässt auf eine gefährliche neue Allianz in der Cyberkriminalität schließen.
• Betrügerische Taktiken für Lösegeld: Unit 42 hat eine Welle von Erpressungsbetrug mit gefälschten Daten und sogar physischen Lösegeldforderungen beobachtet, die an die Privatadressen von Führungskräften geschickt wurden.
• Ransomware-Aktivität nach Unternehmensstandort: Die meisten betroffenen Unternehmen haben ihren Hauptsitz in den USA, gefolgt von Kanada, Großbritannien und Deutschland.
• Fertigung bleibt Hauptziel von Ransomware, trotz der medienwirksamen Angriffe in den Bereichen Technologie und Gesundheitswesen. Am zweithäufigsten betroffen ist der Groß- und Einzelhandel, gefolgt von freiberuflichen und juristischen Dienstleistungen.
• Die Sicherheit in der Cloud und an den Endpunkten ist gefährdet: Angreifer setzen vermehrt „EDR-Killer“ ein, um Endpunkt-Sicherheitssensoren zu deaktivieren, und gehen aggressiver denn je gegen Cloud-Systeme vor.
• Erpressung durch Insider-Bedrohungen: Nordkoreanische Akteure, die sich als Remote-IT-Mitarbeiter ausgeben, haben Unternehmen erpresst, indem sie proprietären Code gestohlen und damit gedroht haben, diesen öffentlich zu machen.

Weitere Informationen finden Sie im (englischsprachigen) Blogpost: https://unit42.paloaltonetworks.com/2025-ransomware-extortion-trends/