Chainalysis veröffentlicht Crypto Crime Report 2025

Der World Backup Day am 31. März erinnert daran, wie essenziell Datensicherungen sind, insbesondere angesichts wachsender Cyberbedrohungen. Unternehmen ohne funktionierende Backups stehen im Falle eines Ransomware-Angriffs vor der Wahl: Datenverlust oder teure Lösegeldzahlungen. Cyberkriminelle fordern ihre Zahlungen meist in Kryptowährungen wie Bitcoin oder Monero, um Transaktionen zu verschleiern und Spuren zu verwischen.

Salih Altuntas, Director of Investigations CEMEA bei Chainalysis , erklärt, wie Backups, Ransomware und der Missbrauch von Kryptowährungen miteinander verknüpft sind. Um dieser Bedrohung effektiv zu begegnen, braucht es zweierlei: Zum einen müssen IT-Systeme gegen Angriffe abgesichert werden, zum anderen gilt es, die Geldflüsse der Erpresser zu stören, um ihre Geschäftsmodelle unrentabel zu machen. Die Analyse verdächtiger Kryptowährungstransaktionen hilft, Geldwäschestrukturen aufzudecken und gestohlene Gelder idealerweise an die Opfer zurückzuführen. Ein aktuelles Lagebild ist entscheidend, um sich gegen die ständig weiterentwickelnden Verschleierungstechniken der Kriminellen zu wappnen.

Ein aktueller Chainalysis-Report zeigt, dass sich die Ransomware-Landschaft 2024 erheblich verändert hat. Trotz verstärkter Strafverfolgung, besserer internationaler Zusammenarbeit und wachsender Zahlungsverweigerung der Opfer ging das Gesamtvolumen der Lösegeldzahlungen um etwa 35 % zurück. Dennoch bleibt der Einsatz von Kryptowährungen für Erpressungen zentral.

Angreifer passen sich an: Neue Ransomware-Stämme entstehen aus geleaktem oder gekauftem Code, was die Bedrohungslandschaft anpassungsfähiger und agiler macht. Die Zeitspanne zwischen Datenexfiltration und Erpressungsversuch hat sich drastisch verkürzt – oft beginnen die Verhandlungen bereits wenige Stunden nach dem Angriff. Die Akteure reichen von staatlich unterstützten Gruppen über Ransomware-as-a-Service (RaaS) -Betreiber bis hin zu Einzeltätern und organisierten Erpresserbanden. Ein prominentes Beispiel ist der Angriff auf den Cloud-Dienstleister Snowflake.

Sinkende Gesamtzahlungen, aber Häufung hoher Lösegeldforderungen

2024 beliefen sich die Zahlungen an Ransomware-Angreifer auf etwa 813,55 Millionen US-Dollar – ein Rückgang von 35 % gegenüber dem Rekordjahr 2023 mit 1,25 Milliarden US-Dollar. Dennoch gab es im ersten Halbjahr 2024 einige herausragende Einzelfälle, darunter eine Rekordzahlung von 75 Millionen US-Dollar an die Gruppe Dark Angels. Die Analyse der Ransomware-Varianten zeigt interessante Entwicklungen: Akira, die seit März 2023 mehr als 250 Unternehmen attackiert hat, war laut Sophos die einzige Ransomware-Variante unter den Top 10 des ersten Halbjahres 2024, die ihre Aktivitäten im zweiten Halbjahr noch gesteigert hat. LockBit hingegen, das Anfang 2024 durch eine internationale Strafverfolgungsaktion stark getroffen wurde, verzeichnete einen Zahlungsrückgang von 79 %. Dies unterstreicht die Wirksamkeit globaler Ermittlungszusammenarbeit.

2024 gab es drei Kategorien von Erpressern: Kleinere Akteure wie Phobos, die durchschnittlich weniger als 500 bis 1.000 US-Dollar forderten, eine mittlere Gruppe mit Forderungen im Bereich von 10.000 US-Dollar und eine dritte Gruppe mit Forderungen im sechs- bis siebenstelligen Bereich. Auffällig ist, dass hochpreisige Erpressungen im Millionenbereich proportional zunehmen.

Geldwäschemethoden und Trends im Zahlungsverkehr

Die Analyse von Geldwäschemechanismen gibt wertvolle Einblicke in das Verhalten von Ransomware-Akteuren und hilft, ihre Aktivitäten vorherzusehen. Aktuell fließt erpresstes Geld hauptsächlich über zentrale Krypto-Börsen (CEXs), private Wallets und Cross-Chain-Bridges, um Geldbewegungen zu verschleiern. Auffällig ist der deutliche Rückgang der Nutzung von Mixing-Diensten, was den Einfluss von Sanktionen und Strafverfolgungsmaßnahmen wie gegen Chipmixer, Tornado Cash und Sinbad zeigt. Stattdessen setzen Kriminelle verstärkt auf Cross-Chain-Bridges zum Off-Ramping, während CEXs weiterhin eine tragende Rolle spielen.

Interessanterweise verbleiben zunehmend große Summen in privaten Wallets, ohne dass sie ausgezahlt werden. Dies deutet darauf hin, dass Kriminelle aufgrund unvorhersehbarer Strafverfolgungsmaßnahmen vorsichtiger agieren. Zudem ist seit Oktober 2024 ein Rückgang bei der Nutzung von No-KYC-Börsen zu verzeichnen. Dies könnte mit der Beschlagnahmung von 47 russischsprachigen No-KYC-Krypto-Börsen durch das BKA und der Benennung der russischen Cryptex-Börse zusammenhängen.

Ransomware bleibt eine anhaltende Bedrohung

Trotz erster Erfolge der Strafverfolgung werden auch 2025 zahlreiche Unternehmen Opfer von Ransomware-Angriffen. Der World Backup Day ist daher ein dringender Appell, die eigene Resilienz zu stärken und Erpressungen durch präventive Maßnahmen vorzubeugen. Eine solide Backup-Strategie bleibt der beste Schutz, um nicht erpressbar zu sein.