EDR-Killer und Post-Quanten-Kryptografie verschärfen die Ransomware-Bedrohung

(Source: mohamed_hassan / pixabay.com)

(Source: mohamed_hassan / pixabay.com)

Ransomware gehört heute zu den grössten Cyberbedrohungen. Ransomware-Gruppen gehen immer professioneller vor und ändern ständig ihre Taktiken, um sich an neue Methoden der Cyberabwehr anzupassen und Schutzmechanismen zu umgehen, wie Kaspersky mitteilt. Zum internationalen Anti-Ransomware-Tag 2026 am 12. Mai gibt der russische Cybersecurity-Anbieter einen Ausblick auf die aktuelle Bedrohungslandschaft.

Bedrohung durch neue Technologie

Obwohl 2025 prozentual weniger Unternehmen von Ransomware-Angriffen betroffen waren als im Jahr zuvor, schätzt Kaspersky das Risiko weiterhin als hoch ein. Lateinamerika habe mit 8,1 Prozent den höchsten Anteil angegriffener Unternehmen, Europa befinde sich mit 3,8 Prozent auf Platz 6.

Ransomware-Gruppen setzen laut Mitteilung zunehmend auf sogenannte "EDR-Killer" (Endpoint Detection and Response). Diese würden Schutzmassnahmen auf Endgeräten deaktivieren, bevor die eigentliche Schadsoftware zum Zug komme. Dazu würden gewisse Ransomware-Familien sogar bereits Post-Quanten-Kryptografie einsetzen – eine Verschlüsselungstechnologie, die selbst Angriffen durch Quantencomputer standhalten soll.

Mehr zum Thema Post-Quanten-Kryptografie - wie und weshalb man schon jetzt quantensicher verschlüsseln sollte -, lesen Sie in diesem Hintergrundbericht.

Fokus auf Erpressung

Die Gruppe "Qilin" griff laut Mitteilung rund 11 Prozent der betroffenen Unternehmen an, "Clop" 10,2 Prozent und "Akira" 9,9 Prozent. Rund 49 Prozent der Unternehmen seien jedoch von kleineren Gruppierungen angegriffen worden.

Zu diesen bekannten Namen gesellt sich gemäss Kaspersky die neue Gruppe "The Gentlemen". Sie falle durch ihre strukturierte Vorgehensweise auf und sei zunehmend auf datenzentrierte Erpressung fokussiert. Dies ist laut Mitteilung "beispielhaft für den grundlegenden Wandel im Ransomware-Ökosystem: weg von auffälligen, breit angelegten Kampagnen hin zu skalierbaren, geschäftsähnlichen Erpressungsmodellen".

Handel mit Zugangsdaten

Zudem haben sich in Telegram-Kanälen und Darknet-Foren Märkte für kompromittierte Datensätze und Zugangsdaten entwickelt, wie Kaspersky weiter schreibt. Auch wenn Behörden von Zeit zu Zeit solche Foren entdecken und beschlagnahmen, entstehen laut Mitteilung ständig neue derartige Plattformen.

Fabio Assolini, Lead Security Researcher bei Kaspersky. (Source: Screenshot / linkedin.com)

"Ransomware hat sich zu einem hochorganisierten Ökosystem entwickelt, das darauf abzielt, gestohlene Daten zu monetarisieren, Abwehrmechanismen zu deaktivieren und Angriffe mit professioneller Effizienz durchzuführen", sagt Fabio Assolini, Lead Security Researcher im Global Research and Analysis Team von Kaspersky. "Wir appellieren an alle User, mehrschichtige Abwehrmechanismen einzurichten, in Backups zu investieren und ihre Cyberkompetenz zu verbessern, um Angriffe abzuwehren."

Übrigens wurde kürzlich eine Sicherheitslücke in der Server-Software cPanel entdeckt, die als Einfallstor für Ransomware dient. Lesen Sie hier mehr dazu.