Ransomware-Angriffe steigen um 47 Prozent – US-Unternehmen besonders betroffen

Ransomware bleibt auch im dritten Quartal 2025 eine der größten Cyberbedrohungen. Nach Daten des Cybersicherheitsunternehmens NordStellar wurden zwischen Januar und September 6.330 Fälle im Dark Web registriert – 47 Prozent mehr als im Vorjahreszeitraum.

Besonders US-Unternehmen sowie kleine und mittlere Betriebe geraten ins Visier von Cyberkriminellen. Am stärksten betroffen war die Fertigungsindustrie mit 245 dokumentierten Angriffen. „In den USA gibt es viele profitable, börsennotierte Unternehmen, die aufgrund regulatorischer Anforderungen und hoher Gewinnmargen ein attraktives Ziel darstellen“, erklärt Vakaris Noreika, Cybersicherheitsexperte bei NordStellar.

Ransomware-Angriffe erfolgen meist über Phishing, Social Engineering oder Malvertising. Die Täter verschlüsseln Daten und drohen, sie zu veröffentlichen, falls kein Lösegeld gezahlt wird. Laut NordStellar überwachen Cyberkriminelle über 200 Blogs, auf denen sie Namen und Daten ihrer Opfer veröffentlichen, um zusätzlichen Druck auszuüben.

Der Anstieg der Fälle wird laut Noreika vor allem durch zwei Faktoren begünstigt: die wachsende Verbreitung von Ransomware-as-a-Service (RaaS), die den Zugang zu Angriffswerkzeugen erleichtert, sowie die Rekordzahl aktiver Ransomware-Gruppen, die im September auf 66 geschätzt wurde.

Hauptziele von Ransomware im dritten Quartal 2025

Der aktuelle Ransomware-Bericht zeigt, welche Länder, Branchen und Unternehmensgrößen im dritten Quartal 2025 besonders stark von Angriffen betroffen waren.

Nach Ländern

Zwischen Juli und September 2025 wurden im Dark Web 1.943 Ransomware-Vorfälle bekannt – ein Anstieg um 31 Prozent im Vergleich zum gleichen Zeitraum des Vorjahres (1.484 Fälle). Von den 1.274 Angriffen, die eindeutig bestimmten Ländern zugeordnet werden konnten, entfielen 54 Prozent auf die USA. Damit waren US-Unternehmen mit 686 Vorfällen am stärksten betroffen.

Kanada folgte mit 62 Fällen, knapp vor Deutschland (60), dem Vereinigten Königreich (54) und Frankreich (35).

Diese Entwicklung entspricht den Beobachtungen der vergangenen Monate. „In den USA sind zahlreiche profitable, börsennotierte Unternehmen ansässig. In Verbindung mit strengen regulatorischen Anforderungen macht das diese Unternehmen zu attraktiven Zielen für Cyberangriffe“, erklärt Vakaris Noreika, Cybersicherheitsexperte bei NordStellar. Das hohe Gewinnpotenzial und die größere Bereitschaft, Lösegeldforderungen nachzukommen, steigern laut Noreika die Erfolgschancen für Angreifer zusätzlich.

Nach Branche

Die Analyse der Ransomware-Angriffe nach Branchen zeigt, dass die Fertigungsindustrie im Zeitraum von Juli bis September 2025 erneut am stärksten betroffen war. Mit 245 registrierten Fällen bestätigt sich der Trend aus den vorangegangenen Quartalen.

Ebenfalls stark betroffen waren Unternehmen aus den Bereichen professionelle, wissenschaftliche und technische Dienstleistungen mit 107 Vorfällen, die Informationstechnologiebranche mit 103 Fällen, das Bauwesen mit 91 sowie die Finanzdienstleistungen mit 88 Angriffen.

„Unternehmen der Fertigungsindustrie haben hohe Ausfallkosten und sind daher eher bereit, auf Lösegeldforderungen einzugehen, um den Betrieb rasch wiederherzustellen“, erklärt Vakaris Noreika, Cybersicherheitsexperte bei NordStellar. Zudem arbeiteten viele dieser Unternehmen mit veralteten oder ungepatchten Systemen und seien durch ihre Abhängigkeit von Drittanbietern und Logistikpartnern besonders anfällig für Schwachstellen in der Lieferkette.

Auch andere Branchen bieten laut Noreika attraktive Ziele: Firmen aus dem Bereich professioneller, wissenschaftlicher und technischer Dienstleistungen verwalten häufig vertrauliche Kundendaten, geistiges Eigentum und kritische Geschäftstools, während IT-Unternehmen aufgrund der großen Menge an wertvollen Daten und ihrer Rolle in der Lieferkette besonders gefährdet sind. Ein erfolgreicher Angriff könne hier mehrere Unternehmen gleichzeitig treffen.

Nach Unternehmensgröße

Die Ransomware-Daten des dritten Quartals 2025 zeigen, dass kleine und mittlere Unternehmen (KMU) am häufigsten ins Visier von Cyberkriminellen gerieten. Besonders betroffen waren Firmen mit 51 bis 200 Mitarbeitenden und einem Umsatz zwischen 5 und 25 Millionen US-Dollar.

„Ransomware-Angreifer sehen kleinere Unternehmen oft als Ziele mit geringem Risiko“, erklärt Vakaris Noreika, Cybersicherheitsexperte bei NordStellar. „Diese verfügen häufig nicht über eine ausgebaute IT-Infrastruktur, arbeiten mit begrenzten Budgets für Cybersicherheit und haben selten die Ressourcen, um Vorfälle gründlich zu untersuchen oder den Behörden zu melden.“

Unternehmen mit niedrigeren Umsätzen seien zudem eher bereit, den Forderungen der Angreifer nachzukommen, so Noreika weiter. Die potenziellen Kosten für Ausfallzeiten, Datenverluste oder Reputationsschäden könnten existenzbedrohend sein. Viele betroffene Firmen betrachteten daher die Zahlung des Lösegelds als einzige Möglichkeit, um den Betrieb schnell wieder aufzunehmen – ein Umstand, der sie für Ransomware-Gruppen besonders attraktiv macht.

Erfahrene Ransomware-Gruppen dominieren die Bedrohungslandschaft 2025

Im dritten Quartal 2025 war die Ransomware-Gruppe Qilin mit 241 Vorfällen für die meisten Angriffe verantwortlich und behauptet damit erneut den ersten Platz aus dem Vorquartal. Die Gruppe ist mit Russland verbunden und operiert als RaaS-Operation (Ransomware-as-a-Service), bei der Partner zusammenarbeiten, um Daten zu verschlüsseln und zu exfiltrieren.

Auf den Plätzen zwei und drei folgen Akira mit 190 Vorfällen sowie INC Ransom mit 146 Vorfällen. Play meldete 102 Vorfälle, gefolgt von Safeplay mit 92 Angriffen.

„Qilin, Akira und Play sind erfahrene Akteure, die seit 2022 beziehungsweise 2023 aktiv sind und für ihre doppelten Erpressungsmodelle sowie ihren großen Opferkreis bekannt sind. Sie führen ihre Operationen überwiegend intern durch, ohne RaaS zu nutzen oder anzubieten“, erklärt Vakaris Noreika, Cybersicherheitsexperte bei NordStellar. Safeplay wurde erstmals im Herbst des Vorjahres entdeckt, gehört jedoch inzwischen konstant zu den Top-Tätern. INC Ransom trat Ende 2023 erstmals auf und ist bislang weniger bekannt, zeigte in diesem Jahr aber ebenfalls konstante Aktivität.

Laut Noreika sind diese Gruppen sehr gut organisiert. Führungskräfte unterschätzen oft die Bedrohung: Ransomware-Akteure suchen gezielt nach Spitzenkräften im Bereich Cybersicherheit oder rekrutieren sogar Insider, um gezielte Angriffe durchzuführen – ein Risiko, das Unternehmen nicht unterschätzen dürfen.

Aufbau eines ransomware-resistenten Unternehmens

Angesichts der anhaltenden Zunahme von Ransomware-Angriffen bleibt die Bedrohung für Unternehmen hoch. Entscheidend ist, die richtigen Schutzmaßnahmen umzusetzen.

An erster Stelle stehen die Mitarbeitenden als wichtigste Verteidigungslinie. Schulungen zu Phishing, Multi-Faktor-Authentifizierung und sicherer Passwortverwaltung sind essenziell, um das Risiko zu verringern, dass Angreifer Zugriff auf sensible Daten erhalten oder in Netzwerke eindringen.

„Ein weiterer zentraler Faktor ist die Überwachung und Behebung unbekannter Sicherheitslücken“, erklärt Vakaris Noreika, Cybersicherheitsexperte bei NordStellar. Insbesondere durch hybride Arbeitsmodelle, unverwaltete Geräte und die Zusammenarbeit mit Drittanbietern vergrößere sich die Angriffsfläche, sodass jeder Endpunkt potenziell ausgenutzt werden könne.

Um Angreifern einen Schritt voraus zu sein, empfiehlt Noreika, externe Schwachstellen frühzeitig zu überwachen und mögliche Datenlecks im Dark Web zu kontrollieren, um komplexere Angriffe zu verhindern. Zudem seien Wiederherstellungspläne und die Sicherung kritischer Daten unverzichtbare Maßnahmen, um die Folgen eines potenziellen Ransomware-Vorfalls zu minimieren.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky