Ransomware: Neue Normalität mit hohem Angriffsniveau

Experten warnen vor einer neuen Normalität, in der die Angriffsfrequenz konstant bedrohlich bleibt. Diese Entwicklung zwingt Unternehmen und Behörden zu massiven Investitionen in die Cybersicherheit, während neue, agile Erpressergruppen kritische Infrastrukturen ins Visier nehmen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Unternehmen proaktiv schützen

Bildung und Gesundheitswesen unter Dauerbeschuss

Die Widerstandsfähigkeit sensibler Sektoren wird erneut auf die Probe gestellt. Nach einem schweren Angriff auf die Universität Warschau am 15. April wurden schätzungsweise 850 Gigabyte an Forschungs- und Verwaltungsdaten gestohlen. Die Täter nutzten die typische Double-Extortion-Taktik: Sie verschlüsselten Systeme und erpressten die Universität mit der Androhung, die gestohlenen Daten zu veröffentlichen.

Nur einen Tag später, am 16. April, wurden neue Details zu einem Datendiebstahl im Cookeville Regional Medical Center in den USA bekannt. Die Rhysida-Gruppe hatte dort Zugriff auf persönliche und medizinische Daten von über 337.000 Patienten erlangt. Der Vorfall zeigt: Trotz verschärfter Regularien und höherer Sicherheitsbudgets bleibt das Gesundheitswesen ein lukratives Ziel für Cyberkriminelle.

Interessant ist die Verschiebung der Angriffsziele. Während das Gesundheitswesen im Fokus bleibt, verzeichnete die Bauindustrie im ersten Quartal 2026 einen dramatischen Anstieg. Mit 131 gemeldeten Opfern lag die Zahl 44 Prozent höher als im Vorjahreszeitraum. Analysten vermuten, dass Erpresser gezielt Branchen angreifen, die über wertvolle operative Daten verfügen, aber oft über weniger ausgereifte Sicherheitsarchitekturen verfügen – ein gefährliches Ungleichgewicht.

Fragmentierung und Spezialisierung der Angreifer

Das Ransomware-Ökosystem im Jahr 2026 ist extrem zersplittert. Statt weniger großer Syndikate dominieren nun Dutzende hochspezialisierte, kleinere Gruppen das Feld. Am 16. April identifizierten Forscher den neuen Stamm NBLOCK. Diese Variante verschlüsselt mit AES-256 lokale und netzwerkfähige Speicher und hinterlässt eine klassische Lösegeldforderung. Im Gegensatz zu Gruppen, die auf spektakuläre Datenlecks setzen, priorisiert NBLOCK offenbar Geschwindigkeit und die Integrität seiner Verschlüsselungs-Metadaten.

Eine andere aufstrebende Bedrohung ist Black Shrantac. Diese Gruppe, die am 15. April gemeldet wurde, hat sich auf industrielle Umgebungen spezialisiert. Sie nutzt sogenannte Living-off-the-Land-Techniken, bei denen legitime Systemwerkzeuge für die Bewegung im Netzwerk und zur Umgehung von Virenscannern massbraucht werden. Durch die Kompromittierung von Industrieleitsystemen (OT) schafft sie erhebliche Sicherheits- und Betriebsrisiken für Fertigungs- und Versorgungsunternehmen.

Die Effizienz dieser Angriffe nimmt stetig zu. Eine als Storm-1175 bekannte Gruppe schafft den kompletten Angriffszyklus – vom ersten Eindringen bis zur vollständigen Datenexfiltration – in weniger als 24 Stunden. Sie nutzt dabei oft Schwachstellen, die erst einen Tag zuvor öffentlich bekannt wurden. Durch die Kombination mehrerer Exploits, um Sicherheitssoftware auszuschalten, halten sie ein hohes Operationstempo, vor allem in Australien, Großbritannien und den USA.

Rekord-Schäden durch Phishing und CEO-Fraud belasten immer mehr Betriebe – Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen psychologische Manipulationstaktiken entlarvt und sich wirksam schützt. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen

Globale Abwehr und regulatorische Antworten

Als Reaktion auf das erhöhte Bedrohungsniveau starten Regierungen aggressivere Resilienz-Programme. Am heutigen Freitag, den 17. April, stellte das Kanadische Zentrum für Cybersicherheit die CIREN-Initiative vor. Sie soll Betreiber kritischer Infrastrukturen auf den „Worst Case“ vorbereiten – inklusive der Fähigkeit, essentielle Systeme nach einem schweren Cyber-Vorfall bis zu drei Monate lang isoliert zu betreiben.

Parallel aktualisiert die US-Behörde CISA fortlaufend ihren Katalog bekannter, ausgenutzter Schwachstellen (KEV). Am 16. April wurde eine kritische Lücke in Apache ActiveMQ hinzugefügt, nachdem Beweise für aktive Angriffe vorlagen. Auch das National Institute of Standards and Technology (NIST) passt seine Arbeitsweise an: Angesichts eines massiven Rückstaus an gemeldeten Schwachstellen wird es nun priorisiert jene Lücken detailliert analysieren, die bereits im CISA-Katalog stehen oder kritische Regierungssoftware betreffen.

Die finanziellen Folgen dieser defensiven Schritte sind enorm. Marktforscher prognostizieren für 2026 globale Cybersicherheitsausgaben von über 240 Milliarden US-Dollar. Das wäre ein Plus von 12,5 Prozent gegenüber 2025. Getrieben wird dieser Anstieg von der Nachfrage nach KI-gestützten Sicherheitsplattformen und Zero-Trust-Architekturen. Zudem bereiten sich 87 Prozent der Organisationen aktiv auf „Harvest Now, Decrypt Later“-Angriffe vor, bei denen heute gestohlene Daten später mit leistungsstarken Quantencomputern entschlüsselt werden sollen.

Ausblick: Der Kampf verlagert sich

Im weiteren Verlauf des Jahres 2026 wird die Konvergenz von KI-Automatisierung und spezialisierten Ransomware-as-a-Service-Modellen das Angriffsvolumen auf dem aktuellen Plateau halten. Zwar gelangen Strafverfolgungsbehörden immer wieder Schläge gegen große Gruppen, doch der daraus resultierende Fragmentierungseffekt gleicht einer Hydra: Geschädigte Partner schließen sich schnell unter neuen Namen wie „The Gentlemen“ zusammen, die in den letzten Monaten bereits fast 200 Opfer für sich reklamierten.

Experten betonen, dass sich der Konflikt in die nächste Phase bewegt. Der Fokus wird zunehmend auf Maschinenidentitäten und Lieferketten-Schwachstellen liegen. Da Credentials für Maschine-zu-Maschine-Kommunikation menschliche Nutzerkonten inzwischen bei weitem übersteigen, fehlt vielen Unternehmen die Übersicht, um diese automatisierten Angriffsvektoren zu sichern. Eine bösartige Werbekampagne vom 15. April, die Angreifern die Kontrolle über 25.000 Endgeräte via einer simplen Domain-Registrierung für 10 Dollar hätte geben können, unterstreicht die Fragilität digitaler Perimeter.

Die Branche ist sich einig: Die Zukunft gehört präventiven, autonomen Sicherheitsstrategien, die der maschinellen Geschwindigkeit moderner Ransomware gewachsen sind. Reagieren allein reicht nicht mehr aus.

de | boerse | 69183317 |