Die Ransomware-Krise nimmt eine neue Gestalt an. Nicht der Erfolg der Attacken sinkt, sondern die Zahlungsbereitschaft der Opfer. Laut Coveware, einem Incident-Response-Unternehmen von Veeam, zahlten im letzten Quartal nur noch 20 Prozent der betroffenen Unternehmen das geforderte Lösegeld — ein historischer Tiefstand. Gleichzeitig werden Ransomware-Banden immer kreativer im Umgang mit dieser Realität: Sie veröffentlichen Opferdaten auf Dark-Web-Seiten in Rekordzahl, um Druck aufzubauen.
Doch eine Beobachtung von Google Threat Intelligence zeichnet ein noch beunruhigenderes Bild: Um trotz besserer Abwehrmechanismen und Strafverfolgung erfolgreich zu sein, nutzen Angreifer zunehmend Windows-Standard-Werkzeuge statt spezialisierter Malware. Die Zahlen sprechen eine deutliche Sprache. Cobalt Strike Beacon, lange Zeit ein Klassiker im Arsenal der Cyberkriminellen, fiel 2025 auf nur noch zwei Prozent der Angriffe — 2024 waren es noch elf Prozent, 2021 über 60 Prozent. Auch Mimikatz zur Passwort-Extraktion sank auf 18 Prozent.
Stattdessen dominieren PowerShell-Befehle, Remote Desktop Protocol (RDP) und Server Message Block (SMB) die Angriffe. RDP wurde in 85 Prozent der erfassten Ransomware-Angriffe für laterale Bewegungen im Netzwerk genutzt. Attacken beginnen häufig mit gestohlenen Zugangsdaten (21 Prozent) oder Schwachstellen in VPNs und Firewalls (ein Drittel aller Fälle), während die Aufklärung durch native Windows-Utilities wie ipconfig, netstat und ping erfolgt.
“Das ist Evasion durch Normalität,” erklärt Ray Umerley, CISO bei Veeam. Wer PowerShell nutzt oder RDP-Verbindungen öffnet, sieht aus wie ein legitimer Administrator. Endpoint-Detection-and-Response-Systeme (EDR) müssen diese Aktivitäten vom normalen Betrieb unterscheiden — eine immense Herausforderung. “Purpose-built Tools hinterlassen klare Spuren,” so Umerley. Native Tools verschmelzen mit dem organisationalen Baseline und ermöglichen Angreifern, schneller und zuverlässiger zu operieren.
Die Implikationen für deutsche Unternehmen sind erheblich. Datendiebstähle treten in 77 Prozent der Angriffe auf, Virtualisierungsinfrastrukturen werden in 43 Prozent angegriffen. Traditionelle Sicherheitsmechanismen sind oft unzureichend. Bavi Sadayappan von Google fasst es zusammen: “Durch die verstärkte Nutzung nativer Funktionen können Bedrohungsakteure Erkennungen leichter umgehen und unter dem Radar operieren.”
Für Unternehmen hierzulande wird klare Schlussfolgerung unausweichlich: Die Fokussierung allein auf Malware-Signaturen reicht nicht mehr. Verhaltensanalyse, Logging, Identitätskontrolle und kontextuelle Korrelation werden zur Pflicht, nicht zur Kür.