Ransomware-Spitze im abgelaufenen Februar: Anstieg gegenüber Februar 2024 um 126 Prozent
Der vergangene Februar 2025 war laut Experten der Bitdefender Labs ein Rekordmonat. Für ihre Analyse im Rahmen des monatlichen Bitdefender Threat Debriefs werteten die Bitdefender-Experten, die von über 70 Ransomware-Banden betriebenen Internet-Seiten zu Dateneinbrüchen im Dark Web – Dedicated Leak-Sites (DLS) – und Informationen aus öffentlich verfügbaren Quellen (OSINT) aus.
Im Vergleich zu 425 Opfern im Februar 2024 erhöhte sich deren Zahl im Februar 2025 auf 962 – eine Zunahme um 126 Prozent. Ein Hauptgrund für den Anstieg sind zunehmend opportunistische, automatisierte Scans bekanntgewordener Schwachstellen. Auf diese folgt dann nach oft mehrwöchiger Vorbereitung die manuell durchgeführte Attacke.
597 der dokumentierten Angriffe fanden ihre Opfer in den USA. Deutschland liegt mit 27 betroffenen Unternehmen auf Rang vier – hinter der Nummer zwei Kanada (58 Angriffe) sowie Großbritannien (36) und vor Frankreich mit 16 Angriffen.
Der Grund für diese steigenden Zahlen liegt in einem Strategiewechsel der Angreifer, der laut Martin Zugec, Technical Solutions Director bei Bitdefender „viele noch überrascht: Anstatt sich auf einzelne Unternehmen oder Industrien zu konzentrieren, gehen einige Ransomware-Gruppen zunehmend opportunistisch vor, indem sie neu entdeckte Software-Schwachstellen in Edge-Netzwerk-Geräten angreifen.“
Ganz gleich, ob es sich um finanziell motivierte oder staatlich unterstützte Hackergruppen handelt – die Akteure konzentrieren sich auf Schwachstellen:
- die eine hohe CVSS-Risikobewertung haben;
- die den Hackern erlauben, im Fernzugriff die Kontrolle über ein System zu erlangen;
- die Software betreffen, die über das Internet zugänglich ist; sowie
- für die ein Exploit-Entwickler oder anderer böswilliger Akteur bereits einen Proof of Concept (PoC) veröffentlicht hat.
Um den ersten initialen Zugang über eine Schwachstelle zu erlangen, starten Angreifer oft innerhalb von 24 Stunden Scans auf der Suche nach verwundbaren Systemen. Der im Anschluss folgende manuelle Hack, der sich oft mit Living-off-the-Land-Techniken vor den Hackern tarnt, benötigt mehr Zeit. Ransomware-Attacken erfolgen daher mit einer typischen Verzögerung von Wochen oder Monaten.
Die im Februar aktivste Clop (CI0p)-Gruppe, der sich 335 von 962 Attacken zuordnen lassen, belegt dieses Muster. Sie nutzte die jeweils mit 9,8 bewerteten Schwachstellen CVE-2024-50623 und CVE-2024-55956 der File-Transfer-Software Cleo. Bekannt wurden die Schwachstellen im Oktober und Dezember 2024. Drei Monate später trägt die aufwändige manuelle Arbeit der Hacker verzögerte Früchte.