
Threat Spotlight: Gemeldete Ransomware-Angriffe verdoppeln sich, da KI-Taktiken sich durchsetzen
Im Jahr 2023 haben künstliche Intelligenz und generative KI die Schlagzeilen beherrscht, und ihr Einfluss beginnt sich auch auf Ransomware-Angriffe auszuwirken – zum Beispiel mit KI-gestützten Phishing-Angriffen, um sich Zugang zu Zielnetzwerken zu verschaffen, und KI-gestützter Automatisierung für eine größere Reichweite. In den letzten 12 Monaten hat dies dazu beigetragen, dass Ransomware neue Dimensionen erreicht hat, da die Häufigkeit von Ransomware-Angriffen weiter zunimmt und und es keine Anzeichen für eine Abschwächung gibt. Wir glauben, dass Angreifer trotz des anhaltenden Erfolgs traditioneller Angriffsmethoden im Jahr 2023 und darüber hinaus auf generative KI setzen werden, um immer effektivere Angriffe zu entwickeln.
Unsere Forscher analysierten 175 öffentlich gemeldete erfolgreiche Ransomware-Angriffe auf der ganzen Welt zwischen August 2022 und Juli 2023. In den Hauptkategorien, die wir verfolgt haben – Kommunen, Gesundheitswesen und Bildung – hat sich die Zahl der gemeldeten Angriffe seit dem letzten Jahr verdoppelt und seit 2021 mehr als vervierfacht.


Der Anteil der Ransomware-Angriffe ist im Vergleich zum Vorjahr in allen fünf Schwerpunktbranchen mit Ausnahme von Finanzunternehmen gestiegen. Die Angriffe auf Gemeinden stiegen von 12 % auf 21 %, auf das Gesundheitswesen von 12 % auf 18 %, auf das Bildungswesen von 15 % auf 18 % und auf die Infrastruktur von 8 % auf 10 %. Im Vergleich dazu gingen die Angriffe auf Finanzinstitute von 6 % auf 1 % zurück, was möglicherweise ein Zeichen dafür ist, dass diese Organisationen sich besser schützen können.
Unsere Analyse der Ransomware-Angriffe auf andere Branchen ergab ähnliche Eskalationsmuster in den letzten zwei Jahren, auch wenn das Volumen der öffentlich gemeldeten Angriffe geringer als in den drei führenden Branchen ausfällt.


Die Auswirkungen generativer KI-Taktiken auf Ransomware-Angriffe
Eine weitere wichtige Entwicklung im vergangenen Jahr ist der Aufstieg der generativen KI, mit der Angreifer gut gestaltete Phishing-E-Mails erstellen können. Mit den Schreibfähigkeiten der generativen KI können Cyberkriminelle, einschließlich derer, die Ransomware einsetzen wollen, jetzt schneller und mit größerer Genauigkeit zuschlagen, da Rechtschreib- und Grammatikfehler in Phishing-E-Mails leichter zu beseitigen sind und die Angriffe dadurch schwerer zu erkennen sind und überzeugender werden.
Jahrelang lernen wir, E-Mail-Angriffe anhand von Grammatik- und Rechtschreibfehlern zu erkennen – ein Schwachpunkt, den es heute wahrscheinlich nicht mehr gibt, wenn man bedenkt, was Angreifer mit generativen, vortrainierten Sprachmodellen und in einigen Fällen sogar mit automatisierten Scans sozialer Medien erstellen können, um Angriffe noch individueller zu gestalten.
Sicherheitsforscher zeigen bereits, wie Angreifer die Code-Generierungsfähigkeiten der generativen KI nutzen können, um bösartigen Code zur Ausnutzung von Software-Schwachstellen zu schreiben.
Mit diesen Änderungen könnten die Fähigkeiten für die Ausführung eines Ransomware-Angriffs auf die Erstellung einer bösartigen KI-Eingabeaufforderung und den Zugriff auf Ransomware-as-a-Service-Tools reduziert werden, was zu einer ganz neuen Angriffswelle führt.
Einblicke aus der Barracuda SOC
Während sich das Volumen der öffentlich gemeldeten Ransomware-Angriffe in einigen Branchen verdoppelt hat, können Sie sicher sein, dass das Volumen der nicht gemeldeten Angriffe ebenfalls dramatisch zugenommen hat. Betrachtet man Cyberangriffe insgesamt aus der Perspektive von Barracudas SoC-as-a-Service, haben wir in den letzten 12 Monaten die folgenden Arten von Vorfällen beobachtet: Business Email Compromise (BEC), Ransomware, Malware-Infektion, Insider-Bedrohung, Identitätsdiebstahl und Datenlecks. Die Stichprobengröße ist klein, da die überwiegende Mehrheit der Angriffe gestoppt wird, bevor sie zu Zwischenfällen werden. Dennoch gibt es einige interessante Erkenntnisse über den Verlauf von Angriffen.
BEC war der häufigste Vorfalltyp. BEC kann jedoch zu Identitätsdiebstahl und Malware-Infektionen führen, was dann zu Ransomware und letztlich Datenlecks führt, da böswillige Akteure Wege finden, Daten zu exfiltrieren.

Das Diagramm zeigt also, wo die Angriffe entdeckt wurden, und erfreulicherweise wurden bereits in der BEC-Phase des Vorfalls Schritte zur Erkennung und Abwehr von Angriffen unternommen. Wenn Sie einen Angriff nicht erkennen und verhindern können, bevor er in das Netz eindringt, dann führt eine frühzeitige Reaktion in der Cyber-Kill-Chain zu einer geringeren Gefährdung und einem geringeren Schaden. Ein Blick auf das Diagramm zeigt die Zusammenhänge zwischen den Ereignissen. Werfen wir einen Blick auf die Details.
BEC verleitet die Opfer in der Regel dazu, zu reagieren und mehr Daten preiszugeben oder Maßnahmen zu ergreifen, die den Angriff auf die rechte Seite des MITRE ATT&CK Framework bringen. Bleibt der Angriff unentdeckt, könnte die nächste Phase eine Malware-Infektion oder ein Identitätsdiebstahl sein, bei dem sich die Angreifer unauffällig und seitlich im Netzwerk des Opfers bewegen, Daten erbeuten und den Grundstein für die nächste Angriffswelle legen.
Daher betonen wir weiterhin die Notwendigkeit, Tools wie XDR zu verwenden, um Angreifer zu eliminieren und zu bekämpfen, sobald Sie E-Mail-Sicherheitssignale erhalten, insbesondere BEC- und Account Takeover Ereignisse. Aus diesem Grund ist Barracuda einer der wichtigsten Beteiligten am Open Cybersecurity Schema Framework. Wir veröffentlichen unsere E-Mail-Bedrohungssignale im OCSF-Format, sodass unsere Kunden und Partner mit Hilfe entsprechender Maßnahmen die Cyber-Kill-Chain unterbrechen können.
Unsere Forscher haben beispielsweise festgestellt, dass mehrere Conversation-Hijacking-Angriffe, die zu BEC führen, auf große Mengen an E-Mails zurückzuführen sind, die im Jahr 2021 gestohlen wurden und auf die ProxyLogon-Schwachstelle CVE-2021-26855 in Exchange zurückzuführen sind. Angreifer führen diese Gespräche nun wieder fort und starten neue Imitationsangriffe, indem sie den beteiligten Parteien antworten. Unter Ausnutzung falsch konfigurierter DMARC-Einstellungen oder einfach durch die Verwendung von Domains, die wie die tatsächliche Domain aussehen, können Angreifer Spear-Phishing-E-Mails an die Empfänger dieser gestohlenen E-Mail-Konversationen von vor zwei Jahren senden. Das nutzt die Schwäche menschlichen Verhaltens aus, bei der wir der Konversation vertrauen, anstatt die Herkunft der E-Mail erneut zu überprüfen, und das kann zu Ransomware und einer Datenschutzverletzung auf Unternehmensebene führen.
Unsere Forscher beobachten auch viele Vorfälle, bei denen Unternehmen mit unzureichenden Ressourcen anscheinend mehrfach Opfer von Ransomware werden, weil ihre Geschäftskontinuitäts- und Notfallwiederherstellungspläne nicht ausreichen. Wir haben gesehen, dass Angreifer es auf Backup-Systeme abgesehen haben, insbesondere wenn diese in derselben Domain gehostet werden und als virtuelle Systeme laufen. Wie wir wissen, weisen viele Hypervisoren oder Container-Hosts Schwachstellen auf, die die Ressourcen offenlegen, sodass Angreifer sie lahmlegen können. In MITRE heißt die Technik „Escape to Host“ und sie wird von Cyberkriminellen verwendet, um zu verhindern, dass die Opfer ihre Systeme ohne Zahlung des Lösegelds wiederherstellen können.
Bewährte Methoden, die die Widerstandsfähigkeit gegen unerbittliche Ransomware-Angriffe stärken können
Erkennung und Prävention
Die Priorität sollte das Vorhandensein von Maßnahmen und Tools sein, um einen erfolgreichen Angriff von vornherein zu erkennen und zu verhindern.
In der heutigen, sich schnell entwickelnden Bedrohungslandschaft bedeutet dies die Implementierung tiefgreifender, mehrschichtiger Sicherheitstechnologien, einschließlich Maßnahmen zum KI-gestützten E-Mail-Schutz und Zero Trust Access, Anwendungssicherheit, Bedrohungsjagd, XDR-Funktionen und effektive Incident Response, um Eindringlinge zu erkennen und Lücken zu schließen, sodass Angreifer nicht ohne weiteres Hintertüren installieren und Daten stehlen oder verschlüsseln können.
Laut unserem Ransomware Insights Report 2023 haben 73 % der Unternehmen bereits einen erfolgreichen Ransomware-Angriff erlebt. Es ist also wichtig, widerstandsfähig zu sein und sich von einem Angriff erholen zu können.
Widerstandsfähigkeit und Wiederherstellung
Selbst mit begrenzten Ressourcen können Sie eine effektive Wiederherstellung nach Ransomware-Angriffen erzielen. Erstens sollten Sie damit rechnen, dass die Angreifer es auf die Infrastruktur für Geschäftskontinuität und Disaster Recovery abgesehen haben – einschließlich der Backup-Systeme. Wir haben viele Vorfälle erlebt, bei denen der Angreifer erst dann Lösegeld verlangt, wenn er sicher ist, dass das Opfer nur begrenzte Möglichkeiten zur Wiederherstellung hat. Hier finden Sie einige Tipps, wie Sie sich auf diese Angriffe vorbereiten können.
1. Die Hauptangriffsflächen für die Backup-Lösung sind die Benutzeroberfläche und der Speicher, daher sollten Sie Folgendes beachten:
- Backup-Systeme segmentieren und isolieren
- Verwenden Sie einen anderen Benutzerspeicher (z. B. separates Active Directory und/oder Lightweight Directory Access Protocol), vorzugsweise ohne Präsenz in sozialen Netzwerken.
- Verwenden Sie stärkere Multi-Faktor-Authentifizierungsmechanismen (MFA) anstelle von Push-Benachrichtigungen, bei denen Angreifer eine Vielzahl von Versuchen durchführen können, was zu einer MFA-Ermüdung führt. Stellen Sie auf Zero-Trust-basierte Authentifizierung mit passwortlosen Funktionen um, wie z. B. Biometrie auf autorisierten Geräten zur Authentifizierung auf der Benutzeroberfläche.
- Verwenden Sie Verschlüsselung und verwenden Sie keinen gemeinsamen Speicher mit anderen Workloads.
2. Wenn Backup-Richtlinien und die Dokumentation des Wiederherstellungsprozesses für alle einsehbar sind, werden Angreifer sie gegen die Opfer einsetzen, damit eine Wiederherstellung ohne Lösegeldzahlung unmöglich ist.
- Schützen Sie die Richtlinien und Dokumentation durch Verschlüsselung und erlauben Sie nur privilegierten Zugriff
- Bewahren Sie Ihre Richtlinien und die Dokumentation des Disaster-Recovery-Prozesses in einem anderen Formfaktor auf, einschließlich gedruckter und physisch verteilter Versionen.
3. Trennen Sie Ihren Speicher von der typischen Betriebsumgebung Ihres Administrators und schaffen Sie einen „Air Gap“, wenn dies sicher möglich ist. In diesem Fall ist die Cloud die beste Option, Sie müssen jedoch berücksichtigen, dass das Internet überlastet ist und die Notfallwiederherstellung nicht schnell ausgeführt werden kann. Weitere erwähnenswerte Möglichkeiten zur Sicherung Ihrer Backups:
- Verwenden Sie Zero Trust für den Zugriff auf Ihre Backup-Lösung
- Reduzieren Sie den Zugriff durch rollenbasierte Zugriffskontrolle
- Implementieren Sie einen unveränderlichen Dateispeicher
- Vermeiden Sie „Netzwerkfreigabe“ für Ihre Backup-Umgebung
- Verwenden Sie eine speziell entwickelte, vollständig integrierte Lösung, sodass Software/Hardware zusammen sind
4. Hypervisoren für virtuelle Maschinen sind leider zusätzliche Angriffsflächen, die böswillige Akteure nutzen können, um die Backup-Lösung zu infiltrieren. Daher empfehlen wir nach wie vor die Verwendung einer ausgewiesenen Backup-Appliance-Lösung, wenn das Ziel der Wiederherstellungszeit (RTO) aggressiv ist. Wenn es um Notfall- und Wiederherstellungswerkzeuge geht, ist eine DIY-Lösung wirklich keine gute Idee!
5. Vergessen Sie nicht das sichere Backup der in der Cloud gespeicherten Daten. In den Microsoft 365-Konten und anderen registrierten SaaS-Anwendungen unter Azure AD gibt es zum Beispiel wichtige Datenbestände, die eine kontinuierliche Datenklassifizierung, Zugriffskontrolle und Strategie für echten Datenschutz erfordern.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.