Der vergangene Februar 2025 war laut Experten der Bitdefender Labs ein Monat mit Negativrekord. So stiegen die Ransomware-Angriffe gegenüber Februar 2024 um 126 Prozent an. Weiter Attacken auf Schwachstellen mit hohen CVSS-Risikobewertungen.
Für Ihre Analyse im Rahmen des monatlichen Bitdefender Threat Debriefs werteten die Bitdefender-Experten, die von über 70 Ransomware-Banden betriebenen Internet-Seiten zu Dateneinbrüchen im Dark Web – Dedicated Leak-Sites (DLS) – und Informationen aus öffentlich verfügbaren Quellen (OSINT) aus. Im Vergleich zu 425 Opfern im Februar 2024 erhöhte sich deren Zahl im Februar 2025 auf 962 – eine Zunahme um 126 Prozent. Ein Hauptgrund für den Anstieg sind zunehmend opportunistische, automatisierte Scans bekanntgewordener Schwachstellen. Auf diese folgt dann nach oft mehrwöchiger Vorbereitung die manuell durchgeführte Attacke.
USA und Europa im Fokus der Angreifer
597 der dokumentierten Angriffe fanden ihre Opfer in den USA. Deutschland liegt mit 27 betroffenen Unternehmen auf Rang vier – hinter der Nummer zwei Kanada (58 Angriffe) sowie Großbritannien (36) und vor Frankreich mit 16 Angriffen.
Der Grund für diese steigenden Zahlen liegt in einem Strategiewechsel der Angreifer, der laut Martin Zugec, Technical Solutions Director bei Bitdefender „viele noch überrascht: Anstatt sich auf einzelne Unternehmen oder Industrien zu konzentrieren, gehen einige Ransomware-Gruppen zunehmend opportunistisch vor, indem sie neu entdeckte Software-Schwachstellen in Edge-Netzwerk-Geräten angreifen.“
Ganz gleich, ob es sich um finanziell motivierte oder staatlich unterstützte Hackergruppen handelt – die Akteure konzentrieren sich auf Schwachstellen:
- die eine hohe CVSS-Risikobewertung haben;
- die den Hackern erlauben, im Fernzugriff die Kontrolle über ein System zu erlangen;
- die Software betreffen, die über das Internet zugänglich ist; sowie
- für die ein Exploit-Entwickler oder anderer böswilliger Akteur bereits einen Proof of Concept (PoC) veröffentlicht hat.
Um den ersten initialen Zugang über eine Schwachstelle zu erlangen, starten Angreifer oft innerhalb von 24 Stunden Scans auf der Suche nach verwundbaren Systemen. Der im Anschluss folgende manuelle Hack, der sich oft mit Living-off-the-Land-Techniken vor den Hackern tarnt, benötigt mehr Zeit. Ransomware-Attacken erfolgen daher mit einer typischen Verzögerung von Wochen oder Monaten.
Clop (CI0p)-Gruppe am aktivsten
Die im Februar aktivste Clop (CI0p)-Gruppe, der sich 335 von 962 Attacken zuordnen lassen, belegt dieses Muster. Sie nutzte die jeweils mit 9,8 bewerteten Schwachstellen CVE-2024-50623 und CVE-2024-55956 der File-Transfer-Software Cleo. Bekannt wurden die Schwachstellen im Oktober und Dezember 2024. Drei Monate später trägt die aufwändige manuelle Arbeit der Hacker verzögerte Früchte.
Mehr bei Bitdefender.com
Über Bitdefender Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de