Sicherheitsforscher entdecken regelmäßig neue Gruppen, Werkzeuge und Opfer. Cyberkriminelle hingegen setzen vermehrt auf Ransomware-as-a-Service-Modelle (RaaS) und wählen ihre Opfer mit dem bestmöglichen Kosten/Nutzen-Faktor aus.
Angesichts dieser Bedrohungslage müssen Unternehmen auf Threat Intelligence setzen, die sich gezielt auf diesen Bereich der kriminellen Aktivitäten konzentriert. Nur so können IT-Teams mit den neuesten Entwicklungen Schritt halten und Sicherheitsvorfälle vermeiden.
Zu diesem Zweck betreibt ESET seine Threat Intelligence und führt dazu die brandneuen eCrime Reports ein. Diese Berichte versorgen Strafverfolgungsbehörden sowie IT- und Sicherheitsteams mit den Informationen, die sie für den Schutz von Unternehmen vor laufenden Angriffskampagnen benötigen. Der Schwerpunkt liegt dabei auf Ransomware und Infostealern.
ESET berichtet seit Jahren über bekannte staatlich gesponserte Advanced Persistent Threats (APTs), die auf hochkarätige Unternehmen und kritische Infrastrukturen abzielen. Die neuen ESET eCrime Reports richten den Blick nun auf finanziell motivierte Cyberkriminelle, die bei der Auswahl ihrer Opfer weder auf Unternehmensgröße noch auf Herkunftsregion achten. ESET eCrime Reports enthalten reale Angriffsszenarien, um diese Erkenntnisse so praxisnah wie möglich zu gestalten. Sie gewähren Einblicke in die eingesetzten Taktiken, Techniken und Verfahren sowie Indicators of Compromise (IoCs‘), Hunting Rules und geben konkrete Handlungsempfehlungen zur Stärkung der Abwehr.
Die wichtigsten Punkte dieses Artikels:
• Ransomware-Angriffe nehmen aufgrund ihrer Verfügbarkeit und wachsenden Raffinesse zu.
• In einer dynamischen Bedrohungslandschaft brauchen Unternehmen Threat Intelligence, um Ransomware-Gruppen einen Schritt voraus zu sein.
• ESET liefert mit seinen brandneuen eCrime Reports tiefgehende Analysen kombiniert mit einem kontinuierlichen Strom relevanter Bedrohungsdaten.
Rekordwerte bei Ransomware-Angriffen
Die Bedrohungslage für Unternehmen verschlechtert sich zusehends. Ransomware ist faktisch zu einer Dienstleistung geworden, die jedem offensteht – das nötige Kleingeld vorausgesetzt. Das befähigt selbst weniger erfahrene Cyberkriminelle zu großangelegten Angriffskampagnen. KI senkt die Einstiegshürde zusätzlich: Programmieren ist schneller und einfacher geworden. Zudem ist der personelle Aufwand für solche Kampagnen deutlich gesunken.
Trotz der erheblichen Fortschritte, die Strafverfolgungsbehörden und Privatsektor bei der Zerschlagung von Ransomware-Gruppen vorweisen können, bleibt die Lage äußerst angespannt. Einer Hydra gleich scheinen jeder zerschlagenen Ransomware-Gruppe mehrere neue zu folgen. Zudem wechseln ihre Partner schnell zu einer neuen Gruppe, sollte die alte zerschlagen worden sein. Die aus dem breiten Angebot entstehende Rivalität geht sogar so weit, dass sich einzelne konkurrierende Hacker-Gruppen im Jahr 2025 gegenseitig angriffen.
Ähnliches gilt für Infostealer, die häufig als erster Angriffsvektor dienen und den Grundstein für Cyberattacken darstellen.
Die verfügbaren Daten bestätigen diesen Trend:
• Die ESET-Analyse von Datenleck-Seiten zeigt einen Anstieg der Ransomware-Angriffe um 50 Prozent im Jahresvergleich.
• Der Verizon Data Breach Investigations Report 2025 verzeichnet einen Anstieg des Anteils von Ransomware-Angriffen von 32 auf 44 Prozent, ein Plus von mehr als einem Drittel im Jahresvergleich.
• Der Verizon-Bericht stellt fest, dass die mittlere Lösegeldzahlung von 150.000 US-Dollar im Jahr 2024 auf 115.000 US-Dollar im Jahr 2025 gesunken ist. Ein möglicher Grund ist die verstärkte Ausrichtung auf kleinere Unternehmen: Bei 88 Prozent der betroffenen KMU wurde Ransomware in den Systemen gefunden.
• Infostealer spielen eine wichtige Rolle: Bei 54 Prozent der Ransomware-Opfer tauchten deren Domains in mindestens einem Infostealer-Log oder in Beiträgen auf illegalen Marktplätzen auf.
Die gestiegene Verfügbarkeit von Ransomware macht sie keineswegs weniger gefährlich. Kriminelle Gruppen entwickeln weiterhin neue Werkzeuge wie EDR-Killer, die anfällige Treiber ausnutzen, um Sicherheitslösungen zu deaktivieren. Außerdem übernehmen sie schnell neue Techniken aus anderen Bedrohungsbereichen, wie etwa ClickFix: Eine Social-Engineering-Methode, bei der eine gefälschte Fehlermeldung Opfer dazu verleitet, schädliche Befehle in ihre Geräte einzufügen und auszuführen.
Warum Threat Intelligence unverzichtbar ist
Angesichts der hochdynamischen Ransomware-Situation können sich Unternehmen nicht mehr allein auf passive Sicherheitslösungen wie einfachen Endpoint-Schutz verlassen. Um mit der Entwicklung der Bedrohungen Schritt zu halten, braucht es eine proaktive, mehrschichtige Verteidigung, die hochwertige Threat Intelligence einschließt.
Ransomware-Angriffe sind oft komplexe, mehrstufige Einbrüche. Cyberkriminelle beginnen mit einer sorgfältigen Erkundungsphase, in der sie die Zielorganisation beobachten. Dann setzen sie Schadsoftware ein, um die Umgebung zu kompromittieren, und verschlüsseln erst danach Daten und fordern ein Lösegeld. Dieser gesamte Prozess kann sich über mehrere Wochen hinziehen, um einer Entdeckung zu entgehen.
Natürlich beobachten die Betreiber solcher Schadsoftware auch die Wirksamkeit ihrer Kampagnen und verbessern ihre Werkzeuge und Taktiken kontinuierlich.
Auch das Infostealer-Ökosystem profitiert stark vom Malware-as-a-Service-Modell: Verschiedene Affiliates verteilen Infostealer und erhöhen so den Druck auf die Verteidiger. Zusätzlich ermöglichen spezialisierte Marktplätze eine besonders einfache Monetarisierung gestohlener Zugangsdaten.
ESET Threat Intelligence: Globale Sichtbarkeit durch erstklassige Forscher
Dank seiner großen Nutzerbasis in verschiedenen Regionen verfügt ESET über echte globale Einblicke in reale Vorfälle, die von seinen Lösungen erkannt und abgewehrt wurden. Diese Grundlage ermöglicht die Erstellung kuratierter, sachlich fundierter und tiefgehender Threat Intelligence.
Ein Beispiel für diese Leistungsfähigkeit ist die ausgezeichnete Forschungsarbeit über das BlackLotus-UEFI-Bootkit: das erste öffentlich bekannte UEFI-Bootkit, das die grundlegende Plattformsicherheitsfunktion UEFI Secure Boot umgeht. In dieser Analyse zerlegt ESET-Forscher Martin Smolár die Schadsoftware in alle ihre Bestandteile, beleuchtet die Geschichte der Malware, erklärt den Bypass-Prozess Schritt für Schritt und gibt konkrete Hinweise zur Verteidigung.
ESET Threat Intelligence wird von einem Team erstklassiger Forscher und Detection Engineers getragen, die eng mit führenden Cybersicherheitsinstitutionen zusammenarbeiten: darunter dem FBI, dem Joint Cyber Defense Collaborative der CISA, dem NATO Cooperative Cyber Defence Centre of Excellence sowie Europol.
Genau diese Experten sind es auch, die zu den ESET Threat Intelligence Feeds und Berichten beitragen.
Was die eCrime Reports leisten
Die ESET eCrime Reports sind die neueste Ergänzung des ESET Threat Intelligence-Portfolios. Sie decken die Methoden, die Infrastruktur und das Verhalten heutiger Cyberkrimineller auf, insbesondere jener hinter Ransomware-, Infostealer- und massenhaft verbreiteten Phishing-Kampagnen.
Diese Kampagnen operieren weltweit und in großem Maßstab und bedrohen Organisationen jeder Größe in nahezu allen Regionen.
Ziel der eCrime Reports ist es, Unternehmen klare und zeitnahe Einblicke in reale Angriffe zu geben, einschließlich der beteiligten Indicators of Compromise sowie konkreter Handlungsempfehlungen, die Sicherheitsteams sofort anwenden können, um ihre Widerstandsfähigkeit zu stärken.
Das Advanced-Tier bietet zusätzlich Zugang zum ESET AI Advisor für eine schnellere Auswertung von Erkenntnissen sowie eine integrationsfertige Anbindung an den ESET MISP-Server.
Die wichtigsten Vorteile der ESET eCrime Reports:
• Vollständiger Überblick über aktuelle Ransomware- und Infostealer-Kampagnen, der weit über einzelne Indikatoren hinausgeht
• Tiefgehende Analysen zu Angriffsmustern, Verlauf, Indicators of Compromise, Taktiken, eingesetzten Werkzeugen, Infrastrukturkartierung und MITRE ATT&CK-Abdeckung
• Konkrete Handlungsempfehlungen auf Basis gewonnener Erkenntnisse und Expertenempfehlungen
• Monatliche Updates zu laufenden Ransomware- und Infostealer-Aktivitäten, zentralen Trends, wichtigen Vorfällen und neuen Bedrohungen
• Der eCrime Feed: ein kontinuierlich aktualisierter Strom kuratierter Indicators of Compromise mit Fokus auf Ransomware-Gruppen, Affiliates und Infostealer-Kampagnen
• ESET AI Advisor: KI-gestützte Unterstützung, die Erkenntnisse aus den eCrime Reports nutzt und kontextbezogene Antworten auf bedrohungsrelevante Fragen liefert
• Zugang zum ESET MISP-Server: direkte Integration kuratierter Threat-Intelligence-Daten, damit Sicherheitsteams die Aufnahme von Indicators of Compromise automatisieren können
• Compliance-Unterstützung, die Organisationen dabei hilft, regulatorische und branchenspezifische Anforderungen zu erfüllen
Mit den ESET eCrime Reports können Unternehmen wahrscheinliche Bedrohungen frühzeitig identifizieren, Fehlkonfigurationen und Sicherheitslücken aufdecken und beheben, Bedrohungen bei Alarmen, Updates oder bei drohendem Patch-Burnout priorisieren und strategische Entscheidungen fundiert treffen.
Keine unangenehmen Überraschungen mehr
Ransomware-Gruppen agieren immer dreister, verfeinern ihre Werkzeuge kontinuierlich und treiben die Angriffszahlen auf Rekordniveau. In einer so hochdynamischen Bedrohungslandschaft brauchen Unternehmen einen konstanten Informationsfluss, um vorhersehen zu können, was Ransomware-Gruppen als nächstes versuchen werden.
Die ESET eCrime Reports helfen, Sicherheitsvorfälle zu verhindern und die Widerstandsfähigkeit zu stärken, indem sie Organisationen tiefe Einblicke in das Cyberkriminalitäts-Ökosystem und die neuesten Bedrohungen geben.
Häufig gestellte Fragen
Warum nehmen Ransomware- und Infostealer-Angriffe so rasant zu?
Ransomware hat sich zu einem zugänglichen Servicemodell entwickelt, das selbst wenig erfahrenen Kriminellen großangelegte Angriffe ermöglicht. KI senkt die Einstiegshürde durch vereinfachte Programmierung und Automatisierung weiter.
Was macht heutige Ransomware-Kampagnen gefährlicher als früher?
Moderne Kampagnen sind ausgefeilte, mehrstufige Operationen. Dabei werden häufig legitime Werkzeuge über Living-off-the-Land-Techniken missbraucht, was die Erkennung erschwert. Gleichzeitig ist das Ransomware-Ökosystem zugänglicher als je zuvor, mit zahlreichen parallel agierenden Gruppen und ihren jeweiligen Affiliates. Sie passen ihre Techniken laufend an, setzen fortschrittliche Werkzeuge wie EDR-Killer ein und übernehmen schnell neue Angriffsmethoden.
Warum brauchen Unternehmen Threat Intelligence zusätzlich zu klassischen Sicherheitslösungen?
Traditionelle, passive Lösungen wie einfache Antivirensoftware können mit der rasanten Entwicklung von Cyberbedrohungen nicht mithalten und decken nicht alle Angriffsvektoren ab. Threat Intelligence liefert Einblicke in reale Angriffe, Taktiken und Indicators of Compromise. Das versetzt Unternehmen in die Lage, Bedrohungen früher zu erkennen, schneller zu reagieren und vorherzusehen, was Cyberkriminelle als nächstes versuchen werden.
Was macht die Threat Intelligence von ESET einzigartig?
Die Threat Intelligence von ESET basiert auf fortschrittlichen Erkennungstechnologien und einem globalen Team renommierter Forscher. Diese beobachten aktive Angriffe, analysieren eingesetzte Schadsoftware und arbeiten mit Organisationen wie NATO, FBI, Europol und CISA zusammen. Diese praxisnahe Sichtbarkeit ermöglicht es ESET, bahnbrechende Bedrohungen aufzudecken und hochwertige Erkenntnisse in seine Intelligence-Produkte einfließen zu lassen.
Was bieten die ESET eCrime Reports, um Unternehmen Cyberkriminellen einen Schritt voraus zu halten?
Die ESET eCrime Reports bieten tiefe Einblicke in Ransomware-, Infostealer- und Phishing-Operationen. Unternehmen erhalten Analysen zu Angriffsmustern, Indicators of Compromise, Taktiken, eingesetzten Werkzeugen, MITRE ATT&CK-Mappings sowie monatliche Updates zu neuen Bedrohungen. Das Advanced-Tier ergänzt dies durch einen KI-Advisor und MISP-Integration zur automatisierten Verarbeitung von Indicators of Compromise. So können Organisationen Bedrohungen frühzeitig erkennen, Fehlkonfigurationen beheben, Alert-Fatigue reduzieren und fundierte Sicherheitsentscheidungen treffen.
