Deutschland im Visier der Gruppe Safepay

Die Bedrohung durch Ransomware nimmt weiterhin drastisch zu. Der neue Bericht State of Ransomware – Q1 2025 von Check Point Research dokumentiert einen weltweiten Anstieg der öffentlich bekannten Ransomware-Opfer um 126 % gegenüber dem Vorjahr. Auch Deutschland bleibt nicht verschont: Besonders auffällig ist die hohe Aktivität der Hackergruppe Safepay.

Ransomware auf Rekordniveau

Im ersten Quartal 2025 wurden weltweit 2.289 Ransomware-Opfer auf sogenannten Data Leak Sites (DLS) veröffentlicht. Das entspricht mehr als einer Verdopplung im Vergleich zum Q1 2024 mit 1.011 bekannten Fällen. Diese Zahl ist selbst dann noch alarmierend, wenn man die 300 Opfer herausrechnet, die auf die massiven Februar-Leaks der Gruppe Cl0p zurückgehen. Der bereinigte Monatsdurchschnitt liegt bei rund 650 Opfern – ebenfalls deutlich über dem Niveau des Vorjahres (rund 450 pro Monat).

Abbildung 1 – Gesamtzahl der gemeldeten Ransomware-Opfer auf Data Leak Sites pro Monat (Check Point Software Technologies Ltd.).

Deutschland: Safepay führt bei Angriffen

Mit einem Anteil von 3 % an allen global gemeldeten Ransomware-Fällen steht auch Deutschland im Fadenkreuz der Cyberkriminellen. Besonders aktiv war hier die Gruppe Safepay: Sie ist für 24 % der gemeldeten Vorfälle verantwortlich und damit die dominierende Gruppierung im deutschen Raum.

Abbildung 2 – Ransomware-Gruppen nach vermeintlichen Opfern – Q1 2025 (Check Point Software Technologies Ltd.)

Cl0p setzt auf Lieferkettenangriffe

Die Gruppe Cl0p bleibt weltweit führend in Sachen Ransomware-Aktivität. Im Q1 2025 benannte sie 392 Opfer – ein Großteil davon im Zusammenhang mit Angriffen auf Cleo-Produkte zur Dateiübertragung (Harmony, VLTrader, LexiCom). Dabei verzichtet Cl0p weiterhin auf Dateiverschlüsselung und fokussiert sich auf Datendiebstahl und Erpressung. 83 % ihrer Opfer stammen aus Nordamerika – aber auch deutsche Unternehmen sind betroffen.

Abbildung 3 – Ransomware-Opfer nach Land, Q1 2025 (Check Point Software Technologies Ltd.).

Abbildung 4 – Ransomware-Opfer nach Branche, Q1 2025 (Global) (Check Point Software Technologies Ltd.).

Falsche Opferdaten verzerren Bedrohungslage

Ein wachsendes Problem ist die gezielte Verbreitung falscher oder doppelt gemeldeter Opfer durch Gruppen wie Babuk-Bjorka und FunkSec. Diese Desinformationskampagnen machen eine realistische Bedrohungsanalyse zunehmend schwieriger und sollen offenbar auch dazu dienen, Medienpräsenz zu generieren oder Partner im Rahmen von Ransomware-as-a-Service (RaaS) zu gewinnen.

Abbildung 5 – Deutschland – Anteil an Opferzahlen nach Akteuren, Q1 2025 (Check Point Software Technologies Ltd.).

Neue Akteure, neue Taktiken

Nach der Zerschlagung der LockBit-Infrastruktur durch Strafverfolgungsbehörden hat sich RansomHub als neuer dominanter Akteur positioniert. Die Gruppe setzte im Q1 2025 insgesamt 228 erfolgreiche Angriffe um und setzt dabei auf ein attraktives Partnerprogramm, das Angriffe dezentral fördert. FunkSec, eine Gruppe mit über 170 gemeldeten Angriffen, zeigt einen weiteren Trend: Die Nutzung von KI-gestützter Schadsoftware, die auch weniger technisch versierten Kriminellen Angriffe ermöglicht. Die genaue Opferanzahl ist fraglich – ein weiterer Hinweis auf die zunehmende Unschärfe in der Bedrohungsanalyse.