Neue Angriffsmethoden wie EDR-Killer und „Access-as-a-Service“ gewinnen an Bedeutung
- Neue Gruppen wie „The Gentlemen“ treiben datenbasierte Erpressung voran
- Erste Ransomware-Familien setzen auf Post-Quanten-Kryptografie
Zum internationalen Anti-Ransomware-Tag 2026 am 12. Mai zeigt Kaspersky, wie sich die Ransomware-Landschaft weiter professionalisiert [1]: 2025 verzeichnete Lateinamerika mit 8,1 Prozent den höchsten Anteil betroffener Unternehmen, gefolgt von der asiatisch-pazifischen Region (7,9 Prozent), Afrika (7,6 Prozent), dem Nahen Osten (7,3 Prozent), der GUS (5,9 Prozent) und Europa (3,8 Prozent). Besonders aktiv sind dabei die Gruppen Qilin (11 Prozent), Clop und Akira (beide jeweils rund 10 Prozent) sowie der neue Akteur „The Gentlemen“. Die Ransomware-Gruppen ändern dabei ihre Methoden und Taktiken: Sie setzen verstärkt auf Datendiebstahl statt auf reine Verschlüsselung, nutzen EDR-Killer zur Deaktivierung von Schutzlösungen und handeln mit kompromittierten Zugängen über Telegram- und Darknet-Plattformen.
Anlässlich des internationalen Anti-Ransomware-Tags 2026 am 12. Mai hat Kaspersky die Ransomware-Trends des Jahres 2025 analysiert und gibt damit einen Ausblick auf die Bedrohungslandschaft 2026. Laut Daten des Kaspersky Security Network verzeichnete Lateinamerika 2025 den höchsten Anteil an Unternehmen, die von Ransomware-Angriffen betroffen waren (8,1 Prozent), gefolgt von der Region Asien-Pazifik (7,9 Prozent), Afrika (7,6 Prozent), dem Nahen Osten (7,3 Prozent), der Gemeinschaft Unabhängiger Staaten (GUS, 5,9 Prozent) und Europa (3,8 Prozent).
Trotz eines leichten Rückgangs des Anteils angegriffener Unternehmen im Vergleich zum Jahr 2024 bleibt das Risiko für Unternehmen hoch. Cyberkriminelle professionalisieren ihre Operationen zunehmend, automatisieren ihre Angriffsmethoden und verlagern ihren Fokus verstärkt auf den Diebstahl und die Veröffentlichung sensibler Daten, anstatt ausschließlich Systeme zu verschlüsseln.
Zu den prägendsten Entwicklungen des Jahres 2025 zählt der anhaltende Anstieg sogenannter der (Endpoint Detection and Response)-„Killer“. Dabei handelt es sich um Tools, die Sicherheitslösungen auf Endgeräten deaktivieren, bevor die eigentliche Schadsoftware ausgeführt wird. Solche Werkzeuge gehören inzwischen zum Standardrepertoire vieler Angriffe und verdeutlichen die zunehmende Professionalität und Methodik moderner Ransomware-Kampagnen.
Telegram und Darknet dienen als „Handelsplattformen“
Telegram-Kanäle und Darknet-Foren dienen dabei weiterhin als zentrale Plattformen für den Handel mit kompromittierten Datensätzen und Zugangsdaten, darunter auch Informationen aus erfolgreichen Ransomware-Angriffen. Zwar wurde das bekannte Untergrundforum RAMP, das unter anderem zur Vermarktung von Ransomware-Diensten und zur Veröffentlichung entsprechender Updates genutzt wurde, im Januar 2026 von Behörden beschlagnahmt sowie im März 2026 LeakBase, eine Plattform zur Verbreitung exfiltrierter und kompromittierter Daten, geschlossen. Dennoch entstehen trotz verstärkter Maßnahmen der Strafverfolgungsbehörden gegen Darknet-Portale fortlaufend neue Plattformen mit ähnlichen Funktionalitäten.
In den Untergrundforen gewinnen zudem zunehmend sogenannte Initial Access Broker (IABs) an Bedeutung. Diese verkaufen bereits kompromittierte Unternehmenszugänge. Besonders häufig geraten dabei RDWeb-Portale ins Visier, über die Geräte ferngesteuert werden können. Durch solche „Access-as-a-Service“-Modelle professionalisieren Ransomware-Gruppen ihre Angriffe weiter und senken gleichzeitig die Einstiegshürden für andere Cyberkriminelle.
Gruppen wie „The Gentlemen“ zeigen grundlegenden Wandel im Ransomware-Ökosystem
Ransomware-Gruppen sind vielfältig wie eh und je. Die derzeit aktivsten Ransomware-Gruppen sind Qilin (rund 11 Prozent), Clop (10,2 Prozent) und Akira (9,9 Prozent). Den Großteil (rund 49 Prozent) machen jedoch kleinere Gruppierungen aus. Dies verdeutlicht die zunehmende Fragmentierung und Dynamik der globalen Ransomware-Landschaft.
Während mehrere große Ransomware-Gruppen ihre Aktivitäten im vergangenen Jahr einstellten, traten zugleich neue Akteure in Erscheinung. Mit Blick auf das Jahr 2026 zählt insbesondere die Gruppe „The Gentlemen“ zu den wichtigsten neuen Bedrohungen. Ausschlaggebend dafür sind ihr rasantes Wachstum, ihre strukturierte Vorgehensweise und der zunehmende Fokus auf datenzentrierte Erpressung. Nach Einschätzung der Kaspersky-Experten könnten Mitglieder der Gruppe zuvor bereits an anderen großen Ransomware-Operationen beteiligt gewesen sein. The Gentlemen stehen beispielhaft für den grundlegenden Wandel im Ransomware-Ökosystem: weg von auffälligen, breit angelegten Kampagnen hin zu skalierbaren, geschäftsähnlichen Erpressungsmodellen. Im Mittelpunkt stehen der Diebstahl sensibler Daten sowie die Ausnutzung von Reputations- und Regulierungsdruck.
Darüber hinaus beobachteten die Forscher erstmals Ransomware-Familien, die Post-Quanten-Kryptografiestandards einsetzen – eine Entwicklung, die Kaspersky bereits zuvor prognostiziert hatte [2]. Dies deutet auf einen strategischen Trend hin zu Verschlüsselungsmethoden, die künftig selbst Angriffen durch Quantencomputer standhalten könnten.
„Ransomware hat sich zu einem hochorganisierten Ökosystem entwickelt, das darauf abzielt, gestohlene Daten zu monetarisieren, Abwehrmechanismen zu deaktivieren und Angriffe mit professioneller Effizienz durchzuführen“, resümiert Fabio Assolini, Lead Security Researcher im Global Research and Analysis Team (GreAT) von Kaspersky. „Bedrohungsakteure passen sich schnell an, missbrauchen legitime Tools, nutzen Infrastrukturen für den Fernzugriff und setzen sogar Post-Quanten-Kryptografie Jahre früher ein als erwartet. Der Anti-Ransomware-Tag soll weltweit das Bewusstsein für die Bedrohungen durch Ransomware schärfen und bewährte Verfahren zur Prävention und Reaktion fördern. Wir appellieren an alle Nutzer, mehrschichtige Abwehrmechanismen einzurichten, in Backups zu investieren und ihre Cyberkompetenz zu verbessern, um Angriffe abzuwehren.“
Kaspersky-Empfehlungen zum Schutz vor Ransomware
- Ransomware-Schutz auf allen Endgeräten aktivieren. Das kostenlose Kaspersky Anti-Ransomware Tool [3] for Business schützt Computer und Server vor Ransomware und anderen Malware-Arten, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
- Software auf allen Geräten stets aktuell halten, um zu verhindern, dass Angreifer Sicherheitslücken ausnutzen und in Netzwerke eindringen.
- Die Verteidigungsstrategie auf die Erkennung lateraler Bewegungen und Datenexfiltration ins Internet ausrichten. Besonderes Augenmerk gilt dem ausgehenden Datenverkehr, um Verbindungen von Cyberkriminellen zum Netzwerk aufzudecken. Offline-Backups, die von Eindringlingen nicht manipuliert werden können, sollten eingerichtet und im Bedarfs- oder Notfall schnell zugänglich sein.
- Anti-APT- und EDR-Lösungen einsetzen, die erweiterte Bedrohungserkennung, Threat Intelligence [4], Untersuchungen und zeitnahe Vorfallbehebung ermöglichen. SOC-Teams sollten zudem Zugriff auf aktuelle Bedrohungsinformationen erhalten und regelmäßig durch professionelle Schulungen [5] weitergebildet werden. Kaspersky kombiniert diese Funktionen im Portfolio rund um Kaspersky Next [6].
Der vollständige Kaspersky-Report „State of ransomware in 2026“ ist verfügbar unter https://securelist.com/state-of-ransomware-in-2026/119761/
[1] https://securelist.com/state-of-ransomware-in-2026/119761/
[2] https://securelist.com/ksb-financial-and-crimeware-predictions-2025/114565/
[3] https://www.kaspersky.com/anti-ransomware-tool
[4] https://www.kaspersky.de/enterprise-security/threat-intelligence
[5] https://xtraining.kaspersky.com/
[6] https://www.kaspersky.de/next
Nützliche Links:
- Kaspersky-Report „State of ransomware in 2026”: https://securelist.com/state-of-ransomware-in-2026/119761/
- Kaspersky Anti-Ransomware Tool: https://www.kaspersky.com/anti-ransomware-tool
- Kaspersky Expert Training: https://xtraining.kaspersky.com/
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
- Kaspersky Next: https://www.kaspersky.de/next
