Cybercrime – Europa war laut der aktuellen Dragos Industrial Ransomware Analyse 2024 und Ransomware Report 2024 von Checkpoint der mit am stärksten betroffene Wirtschaftsraum von Ransomware-Aktivitäten weltweit. Rund 22 Prozent dieser Attacken fanden hier statt. Dabei waren die meisten Opfer in Deutschland, Großbritannien und Italien. Besonders betroffen waren die Sektoren Fertigung, Transport & Logistik und Technologie. Diese Vorfälle weisen auf einen neuen Trend hin: Cyberkriminelle greifen gezielt kritische Infrastrukturen von Industrienationen an. Hierbei stechen gleich mehrere kriminelle (teilweise staatlich geförderte) Ransomware-Gruppen heraus, die sich damit ihre Geldkoffer prall füllen.

Cybercrime – Ein florierendes Business
Das Cybercrime – Business boomt, und hier ganz besonders das Geschäft mit Ransomware. Geschätzt werden weltweit damit über eine Billion US-Dollar umgesetzt. Zu diesem Ergebnis kommt der Ransomware Report 2024 von Check Point. Das in Israel ansässige Unternehmen ist auf Cybeersecurity spezialisiert. Im Jahr 2024 wurden weltweit 5.414 Ransomware-Attacken bekannt gemacht, was einem Anstieg von elf Prozent im Vergleich zum Vorjahr entspricht. Allein im vierten Quartal 2024 gab es 1.827 Angriffe, die höchste Zahl seit Beginn der Aufzeichnungen. Zwar wurden große Ransomware-Netzwerke lahmgelegt, wie LockBit durch die Operation Cronos durch Europol im Februar 2024 (dabei wurden 34 Server weltweit sichergestellt, darunter in Deutschland, den Niederlanden und den Vereinigten Staaten). Doch an ihre Stelle wurde eine fast gleichnamige Gruppe wiedergegründet oder traten andere Banden wie RansomHub ins Zentrum des Geschehens. RansomHub allein war für 531 Attacken im letzten Jahr verantwortlich. Tatsächlich fielen den Sicherheitsforschern 46 neue Ransomware-Banden auf, wodurch die Zahl der bekannten, aktiven Gruppen auf 95 steigt, was einem Anstieg um 40 Prozent gegenüber 2023 mit 68 Gruppen entspricht.
Cybercrime – Das erpressen von Lösegeld mit Ransomware
Ransomware ist eine Art von Schadsoftware, die darauf abzielt, den Zugriff auf Daten oder ganze Computersysteme zu blockieren, bis ein Lösegeld gezahlt wird. Diese Software verschlüsselt die Daten auf dem infizierten System und zeigt eine Nachricht an, die erklärt, dass die Daten nur gegen Zahlung eines Lösegelds entschlüsselt werden können.
Beispiele für Ransomware
Es gibt dabei verschiedene Arten von Ransomware. Dazu zählen etwa Verschlüsselungs-Ransomwares. Diese Softwares verschlüsseln Dateien. Von den Opfern wird dann ein Lösegeld für den Entschlüsselungsschlüssel. Ein weiteres Beispiel wären sogenannten “Locker-Ransomwares”. Diese sperren nicht nur den Zugriff auf Dateien, sondern gleich auf das gesamte System einer Organisation bis zur Bezahlung von Lösegeld.
Opfer von Cybercrime mit Ransomware

Wer glaubt, Cybercrime – Attacken beträfen nur große Konzerne oder Kommunen, der irrt. Die Cybercrime – Statistiken zeigen nämlich, dass davon nicht alleine große Konzerne davon betroffen sind, sondern auch kleinere und mittlere Unternehmen (KMU) und kleinere Gemeinden die Opfer von Cybercrime – Attacken, insbesondere mit Rasnomware sind.
Faktisch alle sind betroffen
Zu den in jüngster Zeit betroffenen Unternehmen zählen etwa der bekannte Hersteller von Armaturen und Sanitärprodukten, Grohe. Das Untenrehmen wurde von der Ransomware-Bande RansomHub erpresst. Hier sind einige der bekanntesten Opfer von Ransomware-Angriffen in Deutschland. Die Deutsche Telekom wurde gleich mehrfach Ziel von Ransomware-Angriffen. Hinzu kommen ThyssenKrupp oder der Batteriehersteller Varta. Als Mittelständler wurde der regionale Wasserversorger Hochsauerlandwasser im Oktober 2023 Opfer einer Ransomare-Attacke. In der Logistik-Automation war der weltweit agierende Logistik-Automationsspezialist SSI Schäfer im Frühjahr 2023 von Cybercrime – Attacken heimgesucht (wir berichteten auf blogistic.net). Das war in der Logistik-Branche kein Einzelfall. Im Jahr 2021 war es beispielsweise Hellmann Worldwide Logistics. Das Unternehmen war im Dezember 2021 Opfer eines Cyberangriffs, der erhebliche Auswirkungen auf den Geschäftsbetrieb hatte. Und last but not least war auch die deutsche Bundeswehr von Cybercrime – Attacken betroffen, wobei es keine spezifischen Berichte über Ransomware-Attacken auf diese Institution gibt. “Diese Angriffe zeigen aber, dass sowohl große Konzerne als auch kleinere Unternehmen gefährdet sind”, weiß Abdulrahman H. Alamri, Senior Intel Analyst II bei Dragos.
Cybercrime – Zumeist Diktaturen eng darin verwickelt
Die meisten Cybercrime – Angriffe werden aus einer Handvoll Länder gestartet, die oft als Hotspots für Cyberkriminalität gelten. Zu den führenden Ländern gehört dabei vor allem das faschistische Putin-Russland, das bekannt für eine hohe Anzahl an Cyberangriffen ist, insbesondere durch organisierte kriminelle Gruppen. Es steht auf Augenhöhe mit seinem Verbündeten im Ukraine-Vernichtungskrieg, der VR China. Die stalinistische Diktatur gilt ebenfalls als ein bedeutender Akteur im Bereich Cyberkriminalität. So steht beispielsweise auch die chinesische Social Media Plattform TikTok unter Verdacht, einerseits die eigene Bevölkerung zu kontrollieren, andererseits aber auch Spionage über die Akteure im Westen zu betreiben. Doch auch im Westen stehen Länder wie die USA und sogar die Ukraine bei Ransomware-Angriffen weit oben, wenn es um Cybercrime geht.
Besonderer Hotspot Nord-Korea
Einer der größten Cybercrime – Hotspots ist jedoch die stalinistische Diktatur Nordkorea, welche mit dem faschistischen Putin-Russland verbündet ist. Nordkoreanische Hackergruppen wie die Lazarus-Gruppe sind beispielsweise dafür bekannt für ihre ausgeklügelten Angriffe auf verschiedene Ziele weltweit. Die Gruppen aus Nordkorea (aber auch China und Russland) sind dabei zumeist in staatliche Operationen eingebunden und zielen darauf ab, finanzielle Mittel zu beschaffen und geheime Informationen zu sammeln. Die nordkoreanischen Angriffe umfassen beispielsweise den “Sony-Hack” im Jahr 2014 und den “WannaCry-Ransomware-Angriff“ im Jahr 2017. Letzterer legte weltweit über 300.000 Computer in rund 150 Ländern lahm.
Schwache Gesetze und Kontrollen fördern Cybercrime

Die angeführten Länder sind aufgrund ihrer technologischen Infrastruktur und der relativen Schwäche ihrer Cyber-Sicherheitsgesetze attraktiv für Cybercrime und legen somit faktische die “Rutsche” für Ransomware-Angriffe. Diese werden nämlich von organisierten kriminellen Gruppen gestartet, die oft in Ländern mit schwachen Cyber-Sicherheitsgesetzen oder geringer Strafverfolgung ansässig sind. Diese Gruppen nutzen dabei Phishing-E-Mails, Social Engineering und Netzwerkscans, um Schwachstellen in den Systemen ihrer Opfer zu finden.
Trump-Dekrete könnten Cyber – Security beeinträchtigen
Es ist daher sinnvoll, wenn die Gesetzgeber sich dieses Themas verstärkt annehmen, insbesondere auch in Hinblick auf die Entwicklungen im Bereich “Künstlicher Intelligenz”. So hat die am 20. Januar 2025 angelobte US-Regierung unter Donald Trump gerade hier noch umfassenden Klärungsbedarf. Es gibt derzeit zwar keine spezifischen Berichte darüber, dass die ohnehin vergleichsweise moderaten Cybercrime – Gesetze in den USA unter der Trump-Administration gelockert werden sollen. Allerdings hat Präsident D. Trump bereits einige Maßnahmen ergriffen, die Auswirkungen auf die Technologie- und Sicherheitslandschaft haben könnten. Zum Beispiel hat er Regeln zur Eindämmung von KI-Risiken aufgehoben, die von der vorherigen Regierung eingeführt wurden. Es bleibt darum abzuwarten, ob weitere Änderungen in Bezug auf Cybercrime – Gesetze in den USA folgen folgen werden.
Regionale Auswirkungen – Deutschland im Fokus
Die Ransomware-Angriffe in Deutschland erfolgen dabei nach einem ähnlichen Muster in ganz Europa, bestätigt A. H. Alamri in seiner Analyse. Dabei priorisieren die Angreifer vor allem Sektoren mit einer geringen Toleranz für Betriebsausfälle. So konnten die Cybersicherheitsexperten von Dragos zwar keine direkten Angriffe auf OT-Assets (Operational Technology) beobachten, dennoch verursachten Ausfallzeiten durch Ransomware in IT-Umgebungen schwerwiegende Störungen industrieller Prozesse. Diese Störungen führten zu finanziellen Verlusten, Produktionsverzögerungen und Sicherheitsrisiken, die durch die Vernetzung von IT- und OT-Systemen noch verstärkt wurden.
Arntz Optibelt – Wie sich Ransomware-Attacken 2024 auswirken
Ein bemerkenswerter Vorfall war beispielsweise der Cyberangriff auf die Arntz Optibelt Group im August 2024, einem führenden deutschen Hersteller von Riemenantrieben. Der Angriff führte zu einer erheblichen Störung der IT-Infrastruktur des Unternehmens. Diese Attacke zeigt, “dass Ransomware-Kampagnen sich auch ohne direkten OT-Einfluss erheblich auf Industrieunternehmen auswirken können”, so die Analyse A. H. Alamris.
Trends und Muster bei Ransomware-Gruppen
Die jüngste Dragos-Analyse zeigt aber auch auf, wie dynamisch und anpassungsfähig Ransomware-Gruppen sind. Internationale Strafverfolgungsmaßnahmen wie Operation Cronos (Europol) führten zwar zu erheblichen Rückschlägen für etablierte Gruppen, darunter LockBit. Ihre Mitglieder mussten sich entweder anderen Gruppen wie RansomHub anschließen oder sich unter neue Namen zusammenzuschließen. Mit anderen Worten: Einer zerstörten Gruppe folgt postwendend eine neue. Neue und etablierte Ransomware-Gruppen nutzen dann auch gleich neuartige Cybercrime – Taktiken, Techniken und Verfahren (TTPs), um einer Entdeckung zu entgehen und ihre Wirkung zu maximieren.
RansomHub dominiert jetzt Cybrercrime

Die wichtigsten Beobachtungen von Dragos sind dabei eine weltweite Dominanz der RansomHub – Gruppe. RansomHub ist eine relativ neue Ransomware-as-a-Service (RaaS)-Gruppe. Sie ist bekannt für ihre Taktik der „Großwildjagd“, bei der sie gezielt Opfer angreift, die bereit sind, hohe Lösegelder zu zahlen. RansomHub zielt dabei häufig auf Cloud-Speicher-Backups und falsch konfigurierte Amazon S3-Instanzen ab.
Die Methoden von RansomHub
Bekannt ist, dass die Gruppe Affiliates über das hauptsächlich russische Darknet-Forum RAMP rekrutiert und die neu verfasste Ransomware-Varianten in den Programmiersprachen GoLang und C++ verwendet. Sie hält sich gleichzeitig an strenge Regeln, wie das Nicht-Angreifen von gemeinnützigen Organisationen und das Vermeiden von Angriffen auf bestimmte Länder wie Kuba, Nordkorea und China. Die Analyse von Dragos ergab, dass RansomHub im vergangenen Jahr mit 531 Vorfällen weltweit in Verbindung gebracht wird, die sich aggressiv gegen Industrieunternehmen richteten.
LockBit in 2024 vom Thron gestoßen
Die RansomHub – Gruppe hat damit die bis dahin dominierende LockBit – Group von Cybercrime – Rang 1 verdrängt. LockBit trat erstmals 2019 unter dem Namen “ABCD” in Erscheinung. Allerdings erst seit 2020 operiert sie unter dem Namen LockBit und bietet kriminellen Gruppen Ransomware-as-a-Service (RaaS) an. Die Gruppe ist dabei bekannt für ihre schnellen und effektiven Verschlüsselungstechniken. Sie hat zahlreiche Organisationen weltweit angegriffen, darunter Unternehmen aus den Bereichen Bildung, Finanzen, Gesundheitswesen und professionelle Dienstleistungen. LockBit war für fast ein Drittel aller bekannten Ransomware-Angriffe im Zeitraum von Juli 2022 bis Juni 2023 verantwortlich. Die Gruppe startete in 2024 als LockBit3.0s. Das ist für diese Kriminellen nötig geworden, weil sie aufgrund von Strafverfolgungsmaßnahmen im Frühjahr 2024 ihre Geschäftsbasis verlor. Viele ihrer Mitglieder wechselten zu anderen Gruppen. Dennoch wird LockBit im Jahr 2024 für mindestens 78 Vorfälle verantwortlich gemacht.
Die Methoden von LockBit
LockBit verwendete hierfür verschiedene Methoden, um in Netzwerke einzudringen, darunter Phishing, Brute-Force-Angriffe auf Remote Desktop Protocols (RDP) und das Ausnutzen von Schwachstellen. Einmal im Netzwerk, verschlüsseln sie sensible Daten und fordert hohe Lösegelder, oft in Kryptowährungen wie Bitcoin oder Monero. Die Gruppe betreibt aber auch ein eigenes Dark-Web-Portal, auf dem sie Daten von Opfern veröffentlicht, die sich weigern, das Lösegeld zu zahlen.
Aufstrebende Cybercrime – Akteure
Unter den Cyber-Kriminellen herrscht ein scharfer Wettbewerb. Ist doch mit Cybercrime viel Geld zu verdienen. Steuerfrei! Das bestätigt auch die jüngste Dragos Industrial Ransomware Analyse. Demnach konzentrieren sich erst kürzlich aufgetauchte Gruppen wie Eldorado und Play usw. auf Schwachstellen in virtuellen Netzwerkanwendungen und Remote-Diensten. Sie nutzten Tools, die auf kritische Umgebungen zugeschnitten sind.
Schwachstellen in VPN-Anwendungen öffnen neue Türen
Diese Ransomware-Gruppe nutzen zunehmend auch Schwachstellen in VPN-Anwendungen und Fernzugriffssystemen aus. Sie kombinieren dabei diese Exploits oft mit Angriffen auf Zugangsdaten, um die Multi-Faktor-Authentifizierung zu umgehen. Diese modernen Techniken zur lateralen Ausbreitung und die Ausrichtung auf virtuelle Umgebungen zeigen, dass ihre Methoden immer ausgefeilter werden.
Fragmentierte und eskalierende Bedrohungslandschaft
“Das Ransomware-Ökosystem fragmentiert sich also weiter”, so A.H. Alamri in seiner Analyse und weiter: “Während neue Gruppen entstehen, passen sich etablierte Akteure ständig weiter an. Diese Entwicklung, kombiniert mit dem Übergang einiger Akteure von reiner Erpressung hin zu operativer Sabotage, zeigt die wachsende Überschneidung von Cyberkriminalität und Cyberkrieg.” Er schätzt daher mit mäßiger Zuversicht auf Besserung, dass Ransomware-Angriffe auf Industrieunternehmen weiter zunehmen werden. Diese seien sowohl von finanziellen Chancen der Akteure als auch von ideologisch motiviert.
A.H. Alamri – “…robuste Cybersicherheitsmaßnahmen umsetzen…”

“Um diesen Bedrohungen zu begegnen, sollten Unternehmen robuste Cybersicherheitsmaßnahmen umsetzen”, rät der Cybercrime – Spezialist. Dazu zählen etwa die Überwachung kritischer Ports, die konsequente Nutzung von Multi-Faktor-Authentifizierung (MFA), regelmäßige Offline-Backups und ein gesicherter Fernzugriff. Das sind Maßnahmen, die sich verhältnismäßig leicht und kostengünstig umsetzen lassen. “Darüber hinaus ist es wichtig, das Personal besser zu schulen und die Netzwerkarchitektur kontinuierlich zu überprüfen, um sich gegen neue Strategien zu verteidigen”, verdeutlicht A.H. Alamri. “Mit der zunehmenden Fragmentierung und Anpassung der Ransomware-Landschaft werden deshalb proaktive Abwehrmaßnahmen, der Informationsaustausch und die Zusammenarbeit weiterhin unerlässlich sein, um kritische Infrastrukturen und industrielle Abläufe zu schützen”, so der Cybersecurity-Spezialist abschließend.
Checkpoint in Kürze
Check Point Software Technologies mit Sitz in Tel Aviv (Israel) gilt als ein Pionier und weltweiter Anbieter einer KI-gestützten, cloud-basierten Cyber-Sicherheitsplattform, die mehr als 100’000 Unternehmen weltweit schützt. Das Unternehmen nutzt die Leistungsfähigkeit von KI überall, um die Effizienz und Genauigkeit der Cyber-Sicherheit durch seine Infinity-Plattform zu verbessern. Dies geschieht mit branchenführenden Erkennungsraten, die eine Antizipation von Bedrohungen und intelligentere, schnellere Reaktionszeiten ermöglichen. Die Plattform umfasst Cloud-Technologien, bestehend aus Check Point Harmony zur Cyber-Sicherung von Arbeitsplätzen, Check Point CloudGuard zur Cyber-Sicherung der Cloud, Check Point Quantum zur Cayber-Sicherung von Netzwerken und Check Point Infinity Core Services für kollaborative Sicherheitsabläufe und -dienste.
Dragos in Kürze
Das Unternehmen bietet weltweit OT-Cybersicherheitstechnologie für industrielle und kritische Infrastrukturen. Das Ziel ist sei dabei “die Zivilisation zu schützen”, so das Cybersecurity-Unternehmen in einer Presseaussendung. Dragos hat fast zehn Jahre praktische Erfahrung im Umgang mit schwerwiegenden Angriffen auf OT-Netzwerke und kennt daher die Komplexität und Risiken industrieller Umgebungen. Diese verfügen häufig über ein enormes Ausmaß, stützen sich auf einzigartigen Systemen, unterliegen hohen Anforderungen an die Verfügbarkeit und lassen sich nicht durch Lösungen zur IT- Cybersicherheit schützen.
Plattform bietet Transparenz
Die Dragos Plattform bietet in diesem Zusammenhang Transparenz und Monitoring von OT-Umgebungen, um Assets zu erkennen, Schwachstellen zu managen und Bedrohungen zu erkennen. Dies geschieht gestützt auf kontinuierliche Erkenntnisse, die von einem erfahrenen OT-Threat-Intelligence- und Service-Team gewonnen werden. Die Plattform entdeckt und überwacht nach eigenen Angaben OT-, IT-, IoT- und IIoT-Assets innerhalb der OT-Umgebung und integriert sich in die IT-Sicherheitsinfrastruktur. Dragos will Anwender in einer Vielzahl von Industriesektoren vor Cybercrime – Aktivitäten schützen, darunter Elektrizität, Öl und Gas, Fertigung, Wasser, Transport, Bergbau und die öffentliche Verwaltung. Dragos ist ein Privatunternehmen und hat seinen Hauptsitz in Washington, DC. Das Unternehmen ist weltweit mit Niederlassungen in Nordamerika, EMEA und APAC vertreten.
Verwandte Themen
(Mehr als 160 technische Lösungen rund um Wirtschaft, Logistik und IT finden Interessenten in unserer Kategorie TECHNIK+LÖSUNGEN auf blogistic.net)
(Mehr zur HJS MEDIA WORLD finden Sie hier unter hjs-media-world.at)