Zurück zum Magazin

    Ransomware 2025: Die wichtigsten neuen Taktiken im Überblick

    Ransomware und Cyber-Sicherheit - Symbolbild

    Ransomware bleibt 2025 eine der größten Bedrohungen für Unternehmen – und die Angreifer werden strategischer, leiser und deutlich schneller. In aktuellen Schadenfällen zeigt sich ein klares Muster: Die technische Komplexität steigt, gleichzeitig nehmen einfache Einstiegspfade weiter zu.

    1. Einstieg über schwache oder vergessene Zugänge

    Die meisten Angriffe beginnen weiterhin nicht mit Zero-Days, sondern mit:

    • kompromittierten VPN-Konten
    • fehlender MFA
    • alten Test- oder Außendienstservern
    • IoT-/OT-Systemen mit veralteter Firmware

    Der Angriff startet „low-tech", wirkt aber hochprofessionell.

    2. Länger unbemerkt im Netzwerk

    Angreifer agieren oft wochenlang unauffällig:

    • leise Netzwerkscans
    • Nutzung legitimer Admin-Tools
    • gezieltes Löschen einzelner Logs
    • Aufbau von SSH- und RDP-Persistenz

    Die tatsächliche Verschlüsselung ist nur das Finale.

    3. Schnelle Übernahme der Domain

    2025 sichern sich Angreifer früh Domain-Admin-Rechte. Dadurch können sie:

    • Backups manipulieren
    • Security-Agents deaktivieren
    • ESXi-/Hyper-V vorbereiten
    • neue Admin-Konten anlegen

    Wenn die Verschlüsselung beginnt, ist der Verteidiger meist schon geschlagen.

    4. Fokus auf Virtualisierung und Backups

    Statt einzelne PCs zu verschlüsseln, greifen Täter direkt zentrale Systeme an:

    • ESXi / Hyper-V
    • Storage-Systeme
    • Backup-Server und S3-Buckets

    Backups werden gezielt zuerst zerstört oder gelöscht.

    5. Erpressung ohne Verschlüsselung

    Ein neuer Trend: Drohung statt Verschlüsselung.

    Viele Gruppen setzen auf Datenabfluss, Doxing, Drohmails und Lieferkettenkommunikation – selbst wenn gar nichts verschlüsselt wird.

    6. Automatisierte Verschlüsselung in Minuten

    Durch neue Tools dauert die Verschlüsselungsphase oft nur noch:

    • 30–90 Minuten bei ESXi
    • 1–2 Stunden in Windows-Umgebungen

    Erkennungs- und Reaktionsfenster werden kleiner.

    Fazit

    Ransomware 2025 ist weniger ein technisches Problem, sondern ein organisatorisches: alte Zugänge, mangelhafte Segmentierung, schwache Passwörter und fehlende Immutable Backups sind die häufigsten Ursachen.

    Die tatsächliche Schadenshöhe entsteht im Wiederanlauf – nicht im Angriff selbst.

    Zurück zum Magazin