Ransomware: Zahlungen sinken, doch neue Gefahren lauern

Die weltweite Ransomware-Bedrohung zeigt zwei Gesichter: Während die Lösegeldzahlungen erstmals deutlich sinken, tauchen neue, politisch motivierte Angreifer auf – mit überraschenden Schwachstellen.

Diese Woche brachte entscheidende Entwicklungen im Kampf gegen digitale Erpresser. Ein aktueller Bericht der US-Finanzaufsicht FinCEN zeigt einen deutlichen Rückgang der Lösegeldzahlungen für 2024. Parallel dazu gelang Sicherheitsforschern ein spektakulärer Coup: Sie knackten den neuartigen Ransomware-Stamm “VolkLocker” durch einen peinlichen Programmierfehler der Hacker. Die Daten deuten auf eine Wende hin – doch die Gefahr ist keineswegs gebannt.

Am 4. Dezember veröffentlichte das US-Finanzministerium eine bahnbrechende Analyse. Sie zeigt: Die Gesamtsumme der gemeldeten Ransomware-Zahlungen ist 2024 erstmals gesunken. Nach einem Rekordhoch von rund 1,1 Milliarden US-Dollar (etwa 1 Milliarde Euro) im Jahr 2023 fielen die Zahlungen auf etwa 734 Millionen Dollar.

Viele Unternehmen bleiben verletzlich – Studien zeigen, dass ein Großteil nicht ausreichend gegen Ransomware und Phishing gewappnet ist. Während die gemeldeten Lösegeldzahlungen sinken, steigt die Raffinesse bei Geldwäsche und Erpressungsstrategien weiter. Ein kostenloser Cyber-Security-Report erklärt praxisnahe Schutzmaßnahmen, Checklisten für Incident Response und wie Sie Threat Intelligence effektiv nutzen, um Angriffe zu erkennen und zu stoppen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Verantwortlich für den Rückgang sind laut FinCEN vor allem zwei Faktoren: die wachsende Widerstandsfähigkeit der Unternehmen und erfolgreiche internationale Polizeioperationen. Schlagkräfte wie das FBI und Europol hatten zuvor die Infrastruktur großer Erpresserbanden wie ALPHV/BlackCat und LockBit zerschlagen.

Dennoch bleibt die Summe gigantisch. Zwischen 2022 und 2024 flossen insgesamt über 2,1 Milliarden Dollar an Cyberkriminelle. Besonders im Visier stehen weiterhin drei Branchen: das Finanzwesen, der Industrie- und Fertigungssektor sowie der Gesundheitsbereich. Die Zahl der Angriffe bleibt hoch, doch immer mehr Firmen weigern sich zu zahlen – und setzen stattdessen auf robuste Backups.

Peinlicher Patzer: VolkLocker-Ransomware selbst entschlüsseln

Während die Behörden langfristige Trends analysieren, gelang Sicherheitsexperten diese Woche ein operativer Erfolg. Am Montag, den 15. Dezember, entdeckten Forscher von SentinelOne einen folgenschweren Fehler in der neuen Ransomware “VolkLocker”.

Die Malware, die mit der prorussischen Hacktivisten-Gruppe CyberVolk in Verbindung gebracht wird, hatte einen kapitalen Konstruktionsfehler: Der Master-Schlüssel zur Entschlüsselung war direkt im Schadcode hinterlegt. „Ein klassischer Fall von ambitionierten Absichten und amateurhafter Umsetzung“, kommentierte ein Sicherheitsanalyst.

Noch peinlicher für die Hacker: Die Software speicherte den Schlüssel zusätzlich als Klartext-Datei auf den infizierten Rechnern. Betroffene können ihre Dateien damit kostenlos wiederherstellen. Der Vorfall zeigt, dass politisch motivierte Gruppen oft technisch überfordert sind – ein schwacher Trost für die angegriffenen Unternehmen.

Geldwäsche wird raffinierter: Der Trend zu “Unhosted Wallets”

Der FinCEN-Bericht offenbarte auch, wie die Kriminellen ihre Geldflüsse verschleiern. Der größte Trend: ein massiver Wechsel zu sogenannten “Unhosted Wallets”. Dabei handelt es sich um Krypto-Wallets, die nicht bei regulierten Börsen geführt werden, sondern direkt von den Kriminellen kontrolliert werden.

Diese dezentralen Geldbörsen machen es den Behörden enorm schwer, die illegalen Gelder einzufrieren oder zurückzuverfolgen. Die Erpresser leiten die Bitcoin- oder Monero-Zahlungen anschließend durch dezentrale Börsen (DEXs) und Mixing-Dienste, um jede Spur zu verwischen.

Parallel dazu ändern sich die Erpressungsmethoden. Das Modell der “doppelten Erpressung” – erst Daten stehlen, dann Systeme verschlüsseln – bleibt Standard. Immer beliebter wird aber die “verschlüsselungsfreie” Erpressung. Dabei drohen die Hacker nur mit der Veröffentlichung gestohlener Daten, um Reputationsschäden zu erzeugen. So umgehen sie technische Fallstricke – wie den peinlichen Fehler von VolkLocker.

Was bedeutet das für deutsche Unternehmen?

Die aktuellen Entwicklungen senden eine gemischte Botschaft an die Wirtschaft. Der Rückgang der Zahlungen bestätigt die Strategie der Cyber-Resilienz: Wer nicht zahlt und gute Backups hat, durchbricht das Geschäftsmodell der Kriminellen.

Gleichzeitig zeigt der VolkLocker-Vorfall, wie wichtig aktuelle Threat Intelligence ist. Nicht jeder Erpressungstrojaner ist ein technisches Meisterwerk. In manchen Fällen liegt der Schlüssel zur Rettung bereits in der Malware versteckt.

Experten warnen jedoch vor zu viel Optimismus. „Ein Rückgang auf 734 Millionen Dollar ist ermutigend, aber das ist immer noch eine gewaltige Summe, die kriminelle Innovation finanziert“, so ein Branchenanalyst. Für 2026 erwarten Sicherheitsexperten eine weitere Verlagerung hin zum reinen Datendiebstahl und eine stärkere Automatisierung über Plattformen wie Telegram.

Die Empfehlung für Unternehmen bleibt klar: Incident-Response-Pläne sollten regelmäßig überprüft und um konkrete Prüfschritte für verfügbare Entschlüsselungswerkzeuge erweitert werden. Denn der häufigste Einfallstor bleibt derselbe: gezieltes Social Engineering und phishing.

PS: Sie wollen nicht nur reagieren, sondern Angriffe früh stoppen? Dieser kostenlose Leitfaden zeigt, wie Sie mit einfachen, kosteneffizienten Maßnahmen Ihre Cyber-Resilienz stärken, Backups und Anti-Phishing-Strategien implementieren und Mitarbeitern Handlungssicherheit geben. Enthalten sind Checklisten, Maßnahmen gegen doppelte Erpressung und Hinweise zum Umgang mit Unhosted Wallets. Für Entscheider, die sofort handeln möchten. Jetzt kostenlosen Cyber-Security-Report sichern