Ransomware-Industrie: Erpressung wird zum Milliardengeschäft

Die Ransomware-as-a-Service-Branche (RaaS) hat sich professionalisiert – doch technische Pannen und Verrat aus den eigenen Reihen erschüttern das System. Europol und führende Cybersicherheitsforscher zeichnen ein düsteres Bild: Allein seit Jahresbeginn wurden weltweit 3.234 Opfer registriert. Die Täter setzen zunehmend auf reine Datenerpressung statt Verschlüsselung.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

Fatale Programmierfehler: Wenn Erpresser ihre eigenen Opfer ruinieren

Ein besonders krasser Fall zeigt die Risiken der neuen „KI-gestützten" Erpressungssoftware. Forscher von Check Point Research entdeckten am Dienstag einen fundamentalen Fehler in der VECT 2.0-Ransomware. Die Gruppe, die erst im Dezember 2025 auftauchte, wollte mit dem Schädling eigentlich expandieren – doch die Verschlüsselung funktioniert nicht wie beworben.

Der Fehler betrifft Dateien über 128 Kilobyte auf Windows, Linux und ESXi-Systemen. Die Malware versucht, große Dateien in vier Blöcken zu verschlüsseln, schreibt aber alle Entschlüsselungscodes an dieselbe Speicheradresse. Ergebnis: 75 Prozent jeder großen Datei sind unwiederbringlich verloren – selbst wenn das Opfer Lösegeld zahlt. Experten vermuten, dass die Code mit generativen KI-Tools erstellt wurde, ohne ausreichende Tests. „Das dürfte ein teurer Fehler für die Erpresser werden", kommentiert ein Sicherheitsexperte.

Europol warnt vor industrialisierter Cyberkriminalität

Der am Mittwoch veröffentlichte IOCTA-Bericht 2026 von Europol bestätigt den Trend zur Industrialisierung. Über 120 aktive Ransomware-Marken wurden 2025 beobachtet. Die Gruppe Qilin dominiert den Markt mit Affiliate-Provisionen von bis zu 85 Prozent der erpressten Summe.

Der wichtigste Wandel: Immer mehr Banden verzichten komplett auf Verschlüsselung und setzen auf reine Datenerpressung. Sie stehlen sensible Informationen und drohen mit Veröffentlichung. „Viele Unternehmen können Systeme aus Backups wiederherstellen, aber nicht den Reputationsschaden eines Datenlecks verkraften", erklärt ein Europol-Sprecher.

Die Grenzen zwischen kriminellen Hackern und staatlichen Akteuren verschwimmen zunehmend. Geheimdienste nutzen etablierte RaaS-Infrastruktur für verdeckte Operationen – ein Albtraum für Ermittler in der EU.

ShinyHunters trifft Carnival: Millionen Datensätze gestohlen

Die Gruppe ShinyHunters hat in den letzten Tagen über 40 Organisationen auf ihrer Datenleck-Seite gelistet. Besonders brisant: Der Angriff auf Carnival Corporation, bei dem 8,7 Millionen Datensätze mit Namen und Geburtsdaten erbeutet wurden. Auch Inditex, Mytheresa und Canada Life Assurance Company sind betroffen.

Der Verräter im eigenen Lager

Ein besonders perfider Fall erschüttert die Incident-Response-Branche. Am Montag gestand ein ehemaliger Lösegeld-Verhandler vor einem Gericht in Florida, die Erpresser unterstützt zu haben. Angelo Martino verriet den Betreibern der Blackcat/ALPHV-Ransomware vertrauliche Informationen über Versicherungslimits seiner Klienten – damit die Hacker höhere Forderungen stellen konnten.

Die Behörden beschlagnahmten rund 10 Millionen Euro an Vermögenswerten, darunter Kryptowährungen und Luxusgüter. „Dieser Fall zeigt: Das menschliche Element bleibt die größte Schwachstelle im System", kommentiert ein Sicherheitsexperte.

Neue Angriffsmethoden: Von Kalender-Einladungen bis PDF-Lücken

Die Angriffstaktiken werden raffinierter. Die nordkoreanische Gruppe BlueNoroff verschickte gefälschte Calendly-Einladungen an Web3- und Fintech-Firmen. Nach Bestätigung des Termins ersetzten die Angreifer den Meeting-Link durch eine manipulierte Zoom-URL mit Schadsoftware.

Eine kritische Sicherheitslücke in Adobe Acrobat Reader (CVE-2026-34621) wird seit 72 Stunden aktiv ausgenutzt. Der Fehler erlaubt Code-Ausführung über manipulierte PDF-Dokumente – ein Albtraum für Unternehmen, die täglich tausende PDFs verarbeiten.

Industrie im Visier: Jeder vierte Angriff trifft Produktion

Der Fertigungssektor bleibt das Hauptziel: Jeder vierte Angriff 2025 traf produzierende Unternehmen. Zwischen März 2021 und Februar 2026 entfielen 90 Prozent aller finanziellen Verluste in der Branche auf Ransomware. Viele Firmen zögern, Produktionssysteme für Sicherheitsupdates herunterzufahren – aus Angst vor Ausfallzeiten. „Diese Zurückhaltung wird teuer bezahlt", warnt ein Cybersicherheitsversicherer.

Rekord-Schäden durch Phishing und Cyberangriffe zeigen, wie wichtig Prävention für die Industrie ist. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam in 4 Schritten schützen kann. Anti-Phishing-Paket kostenlos anfordern

Ausblick: Die Welle rollt weiter

Die Kombination aus KI-gestützter Automatisierung und der Demokratisierung von Cybercrime-Tools lässt Schlimmes befürchten. Gruppen wie Qilin integrieren bereits DDoS-Fähigkeiten und automatisierte Schwachstellen-Scans in ihre Werkzeuge. Experten raten Unternehmen dringend, über einfache Backup-Strategien hinauszugehen. „Die neue Generation von Ransomware macht Wiederherstellung nach Verschlüsselung zunehmend unmöglich", warnt ein Forscher. Priorität haben jetzt schnelle Eindämmung und Datenverlust-Prävention.

de | wissenschaft | 69258821 |