Die Ransomware-Landschaft verändert sich dramatisch: Während die durchschnittlichen und mittleren Lösegeldzahlungen im dritten Quartal 2025 um über 65 % zurückgegangen sind, zeichnen sich neue, besorgniserregende Trends ab. Cyberkriminelle setzen zunehmend auf gezielte Angriffe, insbesondere auf große Unternehmen, und verlassen das bisherige Modell massenhafter, opportunistischer Attacken. Parallel dazu etabliert sich eine neue Bedrohung: bezahlte Insider. Gruppen wie Medusa versuchen gezielt, Mitarbeitende zu bestechen, um Zugang zu internen Netzwerken zu erhalten – ein deutlicher Bruch mit bisherigen Vorgehensweisen.
Während Gruppen wie Akira mit ihrem volumenbasierten Ransomware-as-a-Service-Modell weiterhin den Markt dominieren, wachsen kleinere, spezialisierte Gruppen wie Silent Ransom oder Shiny Hunters, die auf gezielte Datenexfiltration ohne Verschlüsselung setzen. Besonders auffällig ist dabei der verstärkte Einsatz von Social Engineering – entweder durch das Vortäuschen von Helpdesk-Mitarbeitern (Silent Ransom) oder durch das gezielte Ausnutzen realer Identitäten in Unternehmen (Scattered Spider). Diese Methode ist nicht mehr die Ausnahme, sondern entwickelt sich zum neuen Standard – auch bei nicht-englischsprachigen Gruppen.
Die Ökonomie hinter Ransomware zeigt klare Brüche: Die alten, kostengünstigen Angriffswege über Zugangsdaten oder ungeschützte Dienste verlieren an Effektivität. Das zwingt Angreifer dazu, kreativer und ressourcenintensiver zu arbeiten – was wiederum dazu führt, dass größere, lohnendere Ziele in den Fokus rücken. Dennoch: Trotz der erhöhten Zielgenauigkeit und Raffinesse sinkt die Erfolgsquote. Nur noch 23 % aller Angriffe führten im Q3 2025 zu einer Zahlung. Bei reinen Daten-Exfiltrationen lag die Rate sogar nur bei 19 %.
Technisch bleibt die Landschaft komplex, aber konstant: Remote-Zugriffe, Credential Abuse und Vulnerability Exploits bilden die Grundpfeiler der Angriffe, ergänzt durch ausgefeilte Taktiken wie Lateral Movement, Command & Control über legitime Admin-Tools, und präzise Discovery-Phasen, in denen Angreifer gezielt die wertvollsten Systeme und Daten im Netz auskundschaften.
Die Branchenverteilung zeigt: Zwar werden weiterhin bevorzugt Professional Services, Healthcare und Consumer Services angegriffen, doch auch der öffentliche Sektor gerät zunehmend ins Visier – vor allem durch Gruppen wie Qilin, die keine Scheu vor möglichen Sanktionen zeigen. Das mittlere Unternehmenssegment bleibt am stärksten betroffen – wohl, weil hier oft das optimale Verhältnis von Ertragspotenzial und Sicherheitslücken besteht. Aber auch größere Unternehmen sind nicht mehr geschützt, denn: Die Zeit der zufälligen Opferwahl ist vorbei.
Fazit: Die alten Regeln gelten nicht mehr. Ransomware ist kein Spiel der Masse mehr, sondern eines der Präzision. Für Unternehmen bedeutet das: mehr Schutzmaßnahmen gegen interne Angriffe, mehr Wachsamkeit gegenüber Social Engineering – und klare Richtlinien gegen Lösegeldzahlungen, die das Geschäftsmodell der Angreifer erst ermöglichen.