Die rückläufige Zahlungsbereitschaft belegt GTIG mit Daten des Incident-Response-Anbieters Coveware by Veeam, der sowohl bei den durchschnittlichen als auch bei den mittleren Lösegeldsummen einen deutlichen Rückgang feststellte. Große Unternehmen zahlen demnach seltener, mittelständische Betriebe überweisen kleinere Beträge. Nach den jüngsten Coveware-Zahlen zahlten im vergangenen Quartal nur noch 20 Prozent der Opfer – der niedrigste Wert, seit das Unternehmen diese Daten erhebt. Zwar stiegen die durchschnittlichen und mittleren Zahlungen zuletzt an, doch laut Bericht gehen diese Ausschläge auf einzelne besonders schwere Vorfälle zurück und nicht auf einen Trend.
Google führt die Entwicklung auch darauf zurück, dass Verteidiger Angriffe besser abwehren und sich vor allem schneller davon erholen. Hinzu kamen Maßnahmen der Strafverfolgung, ein überfülltes Täterumfeld und interne Streitigkeiten zwischen den Akteuren, die das Ökosystem zusätzlich störten.
Als Reaktion verlassen sich die Angreifer der Untersuchung zufolge weniger auf externe Werkzeuge und mehr auf eingebaute Windows-Funktionen – das sogenannte “Living off the Land”. So tauchte Cobalt Strike Beacon im vergangenen Jahr nur noch in 2 Prozent der Ransomware-Angriffe auf, nach 11 Prozent im Jahr 2024 und rund 60 Prozent im Jahr 2021. Mimikatz kam in 18 Prozent der Angriffe zum Einsatz, ein Rückgang um 2 Prozentpunkte gegenüber 2024.
Parallel dazu beobachtet Google den zunehmenden Missbrauch interner Windows-Werkzeuge. Während ausgenutzte Schwachstellen weiterhin der häufigste anfängliche Zugangsweg sind, dienen gestohlene Zugangsdaten in 21 Prozent der Fälle als Einstieg und durchgängig zur Festsetzung nach dem ersten Zugriff. Für die Erkundung nutzen Angreifer PowerShell-Befehle, frei verfügbare Software und Systemwerkzeuge.
Laut Google-Blogbeitrag fragten die Täter mit PowerShell konsequent Active-Directory-Objekte zu laufenden Prozessen, Netzwerkfreigaben und Gruppenmitgliedschaften ab – von nativen Cmdlets wie Get-ADComputer und Get-ADUser bis hin zu Skriptblöcken. Ebenso griffen sie auf interne Windows-Dienstprogramme wie ipconfig, netstat, ping und nltest zurück. Für die seitliche Bewegung im Netz dienten RDP, SMB und SSH, wobei RDP in 85 Prozent der Angriffe auftrat.
Ray Umerley, Field CISO bei Veeam, bestätigt den Trend gegenüber Dark Reading, schränkt jedoch ein, dass Werkzeuge wie Mimikatz in den Falldaten weiterhin verbreitet seien. Klassische Angriffswerkzeuge seien nicht verschwunden; vielmehr setzten viele Täter stärker auf eingebaute Windows-Fähigkeiten wie PowerShell, WMI und cmd, um den Einsatz zusätzlicher Binärdateien zu vermeiden, die eher auffielen. Diese Strategie bezeichnet er als “Tarnung durch Normalität”. Speziell entwickelte Werkzeuge wie Mimikatz und Beacon seien von EDR-Systemen weitgehend signiert und verhaltensbasiert erfasst, sodass ihr Einsatz Erkennungschancen schaffe; der Missbrauch nativer Werkzeuge gehe dagegen im normalen Betrieb unter.
Bavi Sadayappan, leitende Threat-Intelligence-Analystin bei Google und Mitautorin der Studie, bestätigt diese Verlagerung der vergangenen Jahre, einschließlich des nahezu vollständigen Verzichts auf Cobalt Strike Beacon im Jahr 2025. Sie führt den Wandel auf verbesserte Sicherheitsvorkehrungen und Endpunkterkennung zurück – durch die Nutzung legitimer Funktionen könnten Angreifer der Entdeckung eher entgehen und unauffällig agieren.
