Im zweiten Quartal dieses Jahres brachen grosse Ransomware-as-a-Service-Gruppen (RaaS), wie etwa Lockbit und Ransomhub zusammen, was zu einer Fragmentierung des kriminellen Ökosystems geführt hat, das aber nach wie vor sehr aktiv ist, wie dem "Check Point Ransomware Report Q2" unter anderem zu entnehmen ist.
Laut Report stieg die Gruppierung um die Ransomware Qilin an die Spitze der Akteure auf und erpresst Nutzer mit juristisch angehauchten Texten und Themen, sowie innovativen Taktiken.
Vom Report erfasst wurde auch der Aufstieg von KI beim Phishing, bei Verhandlungs-Bots und Affiliate-gesteuerten Kartell-Modellen. Letztere werden demnach von Dragonforce und anderen Banden vorangetrieben.
Ransomware-Banden entfernen sich gemäss der Untersuchung der Check-Point-Experten weiterhin vom Verschlüsseln kritischer Daten und gehen verstärkt über zum Stehlen und (angedrohten) Veröffentlichen, um Druck auf die Unternehmen hinsichtlich eines Lösegelds – oder besser: Erpressungsgeldes – auszuüben.
Um sechs Prozent sank die Zahl der öffentlich genannten Opfer, was aber nicht als blosser Rückgang gedeutet werden dürfe, obwohl der Druck kürzlich erfolgter Polizeiaktion sicherlich hineinspiele, sondern auf bessere und verborgenere Operationen der Hacker hinweise.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software Technologies, fasst die Beobachtungen zusammen: "Im zweiten Quartal 2025 haben wir eine deutliche Veränderung in der Ransomware-Landschaft beobachtet, nämlich weniger dominante RaaS-Gruppen, einen Rückgang der öffentlich bekannt gewordenen Opfer und differenziertere Erpressungstaktiken. Da die Hacker ihre jeweilige Ransomware an ein nun fragmentiertes Ökosystem anpassen, erwarten wir noch aggressivere Verhandlungsstrategien und eine zunehmende Abhängigkeit von KI zur Automatisierung und Verbesserung aller Phasen des Angriffs."
