Black Kite beschreibt eine Rückkehr des Ransomware-as-a-Service-Ökosystems zu alter Stärke – zumindest in Europa. Während es 2024 und 2025 weltweit eher eine ruhigere Phase gegeben habe, steigt die Zahl der öffentlich bekannten Fälle auf dem Kontinent nun spürbar an. Dikbiyik sagte Dark Reading, global nähmen die USA weiterhin fast die Hälfte aller Opfer auf, während Kanada und das Vereinigte Königreich um den zweiten Platz gewechselt hätten. Europa habe bislang dahinter gelegen, doch das beginne sich zu ändern.
Für die Entwicklung sieht er mehrere Faktoren. Einer davon sei, dass die hohe Dichte an Ransomware-Aktivität in den USA manche Gruppen dazu bringe, anderswo nach Chancen zu suchen. Hinzu komme nach seiner Einschätzung, dass die KI-gestützte Zielaufklärung der Angreifer zunehmend auf Europa zeige. Dikbiyik nennt dabei vorhandene Stealer-Logs, ungepatchte Schwachstellen und verfügbare finanzielle Mittel als begünstigende Faktoren. Kleinere Länder hätten womöglich schwächere Abwehrmaßnahmen, während große Volkswirtschaften zugleich Wohlstand und Angriffsfläche böten.
Dass Ransomware nie wirklich verschwunden sei, zeige laut Black Kite auch der Blick auf die Täterlandschaft. Zwischen 2022 und 2025 war der Druck der Strafverfolger auf RaaS-Gruppen groß. Laut Bericht wurden hochrangige Operationen wie Conti, Hive, LockBit und AlphV sowie weitere Gruppen wie Babuk, BianLian, Cactus und RansomHub gestört oder ganz zerschlagen. Das habe Akteure zerstreut und in den Untergrund gedrängt. Entstanden sei dadurch jedoch ein Machtvakuum, das nun durch schiere Masse gefüllt werde: Nach Angaben von Black Kite lag der bisherige Höchststand aktiver Ransomware-Gruppen 2023 bei 60, aktuell verfolgt das Unternehmen 150 Gruppen.
Die Angriffe verteilen sich in Europa keineswegs gleichmäßig. Insgesamt entfielen 68,5 Prozent aller Attacken auf die größten Märkte: das Vereinigte Königreich, Deutschland, Frankreich, Italien und Spanien. Auffällig ist dabei nicht nur die absolute Zahl, sondern auch das Wachstum gegenüber dem Vorjahr. In Italien stieg die Zahl der Angriffe im ersten Drittel 2026 um 92 Prozent gegenüber dem ersten Drittel 2025, in Spanien um 77 Prozent und in Frankreich um 119 Prozent.
Noch stärkere Zuwächse verzeichnete Black Kite in kleineren Ländern: 433 Prozent in der Türkei, 333 Prozent in Rumänien und 217 Prozent in Polen. Dennoch sehen die Forscher darin ausdrücklich „kein aussagekräftiges Muster“ und keinen klaren Hinweis darauf, dass Angreifer gezielt in kleinere, schwächer geschützte Volkswirtschaften ausweichen.
Besonders häufig betroffen sind bestimmte Branchen. Mehr als ein Viertel der Ransomware-Angriffe in Europa zwischen Januar 2025 und April 2026 traf den Fertigungssektor. Weitere 17,8 Prozent entfielen auf ein breites Feld professioneller, wissenschaftlicher und technischer Dienstleister, besonders auf Anbieter digitaler Dienste. Dikbiyik wertet beide Bereiche als Hebel für nachgelagerte Lieferkettenrisiken: Hersteller seien in größere Lieferketten eingebettet, und digitale Dienstleister verfügten oft über direkten Zugang zu Systemen und Daten ihrer Kunden.
Als prägnantes Beispiel nennt Dikbiyik den Angriff auf Miljödata vom 23. August 2025. Durch die Kompromittierung eines Anbieters für IT- und HR-Systeme verschafften sich Angreifer Zugriff auf Daten von rund 200 nachgelagerten schwedischen Kommunen sowie mehreren Universitäten und Unternehmen. Betroffen waren demnach mehr als 1 Million Personen.
Dikbiyik unterscheidet beim Drittrisiko zwischen „Konzentrationsrisiko“ und „Kaskadenrisiko“. Ein Konzentrationsrisiko entsteht demnach, wenn mehrere Lieferanten derselben Schwachstelle ausgesetzt sind oder an einem weiteren unsicheren Anbieter hängen. Miljödata sei für die schwedische Regierung ein Beispiel dafür gewesen. Von Kaskadenrisiko spricht er, wenn Angreifer nach einem Einbruch bei einem Dienstleister weitere verbundene Unternehmen entlang der Kette kompromittieren. Auf solche Kampagnen sei etwa ShinyHunters spezialisiert, zuletzt auch im Zusammenhang mit Oracle PeopleSoft.