Wie Ransomware-Gruppen ihre Opfer auswählen
Sophos X-Ops-Analyse zeigt das Vorgehen
Laut einer Untersuchung des Cybersecurity-Spezialisten Sophos gehen Ransomware-Kriminelle bei ihren Angriffen oft den Weg des geringsten Widerstands.
Bild: ©James Thew/stock.adobe.comDie Sophos X-Ops: Counter Threat Unit (CTU) untersucht, wie Ransomware-Akteure ihre Ziele auswählen. Die Security-Spezialisten betonen darin, dass die Cyberkriminellen gerne den Weg des geringsten Widerstands gehen: Die überwiegende Mehrheit der untersuchten Ransomware-Angriffe erfolgte demnach opportunistisch und nicht gezielt. Laut Analyse nutzen Angreifer in den meisten Fällen ihre vorhandenen Zugriffsrechte aus, anstatt Opfer nach Branche, Standort oder strategischer Bedeutung auszuwählen.
Obwohl einige Gruppen gezielt versuchen, über den Zugang zu umsatzstarken Unternehmen höhere Lösegeldforderungen durchzusetzen, zeigen die Untersuchungsergebnisse, dass die Mehrheit der Ransomware-Angriffe kleine Unternehmen trifft. Als Gründe dafür verweist Sophos darauf, dass in diesem Bereich begrenzte Budgets und fehlende eigene Ressourcen für Cybersicherheit die Verwundbarkeit erhöhen. Sie werden von Angreifern als besonders leicht erreichbare Ziele wahrgenommen.
Bild: Sophos Technology GmbHOpportunismus anstelle von gezielter Auswahl
Ausgangspunkt der Untersuchung war die wiederkehrende Frage an die Sophos-Forscher, ob bestimmte Ransomware-Gruppen gezielt einzelne Branchen oder Regionen ins Visier nehmen. Wie der Security-Spezialist mitteilt, greift eine rein gruppen- oder täterbezogene Abwehr zu kurz. Entscheidend sei vielmehr, zu verstehen, dass die meisten Ransomware-Angriffe opportunistisch erfolgen.
Sophos rät Organisationen dazu, ihren Fokus weniger auf einzelne zu Akteure richten, sondern darauf, wie sie sich grundsätzlich und wirksam gegen Ransomware- und Datendiebstahlangriffe wappnen können, und zwar unabhängig davon, wer dahintersteht. Zuverlässige Sicherheitsupdates, phishing-resistente Multi-Faktor-Authentifizierung (MFA), Endpoint Detection and Response (EDR) sowie unveränderliche Backups machen Ransomware-Angriffe weiterhin gut vermeidbar. In der Praxis zeigt sich jedoch, dass viele betroffene Unternehmen diese Maßnahmen nicht konsequent umsetzen.
Regulierte Branchen sind schwierigere Ziele
Als Beispiel für den opportunistischen Charakter von Ransomware-Angriffen verweist Sophos auf den Bankensektor. Banken sind umsatzstarke Unternehmen und eine durch Ransomware verursachte Betriebsstörung könnte grundsätzlich einen starken Anreiz zur Lösegeldzahlung darstellen. Dennoch beobachten die CTU-Forscher nur sehr wenige Finanzinstitute, die tatsächlich Opfer solcher Angriffe werden.
Als Grund dafür vermutet der Cybersicherheits-Spezialist vor allem den hohen Regulierungsgrad der Branche. Verbindliche Cybersicherheitsstandards sorgen dafür, dass Investitionen in Sicherheitsmaßnahmen wettbewerbsneutral erfolgen. Entsprechend sind Kontrollrahmen etabliert, Perimeter gut geschützt und Netzwerke so gestaltet, dass Angriffsflächen minimiert werden.
Organisationen in unregulierten Sektoren sind anfälliger für opportunistische Angriffe, da der Einsatz robuster Cybersicherheitspraktiken nicht in gleicher Weise gefördert wird. So erhöht die Verbesserung der Sicherheitsmaßnahmen im Fertigungssektor etwa die Kostenbasis eines Unternehmens und macht die Produkte der Konkurrenz somit vergleichsweise günstiger.
Gezielte Angriffe auf bestimmte Branchen sind eher die Ausnahme
Den Grund für Angriffe von bestimmten Gruppen auf Organisationen eines bestimmten Sektors vermutet Sophos darin, dass diese Gruppe eine Schwachstelle in einem in diesem Sektor weit verbreiteten Dienst ausnutzt. Organisationen desselben Sektors weisen tendenziell ähnliche Sicherheitskonzepte auf. Es gibt jedoch Ausnahmen. Manche Gruppen greifen Organisationen in Sektoren an, von denen sie annehmen, dass diese eher bereit sind, Lösegeld zu zahlen.
Zwei Beispiele: Mitglieder der Conti-Ransomware-Bande attackierten während der Covid-19-Pandemie gezielt Krankenhäuser, in der Annahme, dadurch die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen. Gold Victor, der Initiator der Ransomware-Angriffe von Vice Society und Rhysida, hat eine klare Vorliebe für Angriffe auf Organisationen im Gesundheits- und Bildungswesen, vermutlich aus demselben Grund (siehe Diagramm). Im zweiten Halbjahr 2025 machte Rhysida jedoch weniger als 1% aller auf den Leak-Websites aufgeführten Opfer aus. Ransomware-Opfer sind also weiterhin überwiegend zufällig verteilt.
Detaillierte Informationen zu der Untersuchung inklusive der Betrachtung verschiedener Motivationen für Ransomware-Gruppen von Lieferkettenangriffen über staatliche Operationen bis hin „Revierkämpfen“ in der Szene gibt es im englischsprachigen CTU-Blogbeitrag „How Ransomware Operators Choose Victims“
Laut einer Untersuchung des Cybersecurity-Spezialisten Sophos gehen Ransomware-Kriminelle bei ihren Angriffen oft den Weg des geringsten Widerstands.
Bild: ©James Thew/stock.adobe.comDie Sophos X-Ops: Counter Threat Unit (CTU) untersucht, wie Ransomware-Akteure ihre Ziele auswählen. Die Security-Spezialisten betonen darin, dass die Cyberkriminellen gerne den Weg des geringsten Widerstands gehen: Die überwiegende Mehrheit der untersuchten Ransomware-Angriffe erfolgte demnach opportunistisch und nicht gezielt. Laut Analyse nutzen Angreifer in den meisten Fällen ihre vorhandenen Zugriffsrechte aus, anstatt Opfer nach Branche, Standort oder strategischer Bedeutung auszuwählen.
Obwohl einige Gruppen gezielt versuchen, über den Zugang zu umsatzstarken Unternehmen höhere Lösegeldforderungen durchzusetzen, zeigen die Untersuchungsergebnisse, dass die Mehrheit der Ransomware-Angriffe kleine Unternehmen trifft. Als Gründe dafür verweist Sophos darauf, dass in diesem Bereich begrenzte Budgets und fehlende eigene Ressourcen für Cybersicherheit die Verwundbarkeit erhöhen. Sie werden von Angreifern als besonders leicht erreichbare Ziele wahrgenommen.
Sophos Technology GmbH
Dieser Artikel erschien in www.i40-magazin.de www.i40-magazin.de 2026 - 01.01.26.Für weitere Artikel besuchen Sie
