Ransomware-Angriffe haben im Jahr 2025 einen neuen Rekord erreicht – doch die Einnahmen der Täter sind gleichzeitig zurückgegangen. Laut dem aktuellen Crypto Crime Report des Blockchain-Analyseunternehmens Chainalysis sanken die nachverfolgbaren Zahlungen an Ransomware-Akteure um rund acht Prozent auf 820 Millionen US-Dollar, während die Zahl der öffentlich beanspruchten Angriffe um 50 Prozent auf ein Allzeithoch stieg. Damit dürfte der Anteil tatsächlich gezahlter Lösegelder auf einem historischen Tiefstand von rund 28 Prozent liegen.

Weniger Einnahmen, höhere Einzelzahlungen

Die sinkenden Gesamteinnahmen täuschen jedoch über eine gegenläufige Entwicklung bei den Einzelzahlungen hinweg: Der mittlere Lösegeldbetrag stieg um 368 Prozent auf knapp 60.000 US-Dollar – gegenüber rund 12.700 US-Dollar im Vorjahr. Chainalysis führt die divergierende Entwicklung auf mehrere Faktoren zurück: verbesserte Incident-Response-Kapazitäten, strengere Regulierung, wirksame internationale Strafverfolgungsmaßnahmen sowie die zunehmende Fragmentierung des Ransomware-as-a-Service-Markts (RaaS). Analysten zählen inzwischen bis zu 85 aktive Erpressungsgruppen, was die Zurechnung einzelner Angriffe erheblich erschwert.

Zu den folgenreichsten Vorfällen des Jahres gehörte ein Angriff auf den britischen Automobilhersteller Jaguar Land Rover, der Produktionslinien in mehreren Ländern lahmlegte und geschätzte wirtschaftliche Schäden von 1,9 Milliarden Pfund verursachte – der bislang teuerste Cyberangriff in der Geschichte Großbritanniens. Auch der Einzelhandelsriese Marks & Spencer war betroffen: Die Scattered-Spider-Gruppe verschaffte sich Zugang zu den Systemen und löste monatelange Betriebsausfälle aus, die den Börsenwert des Unternehmens um mehrere hundert Millionen Pfund reduzierten. Im Gesundheitssektor traf es unter anderem den Dialyseanbieter DaVita, bei dem rund 2,7 Millionen Patientendatensätze kompromittiert wurden.

Zunehmende Automatisierung bei Angriffen

Ein wachsendes Problem stellen die sogenannten Initial Access Broker (IABs) dar – Akteure, die kompromittierte Netzwerkzugänge an Ransomware-Gruppen weiterverkaufen. Laut Chainalysis erhielten IABs 2025 mindestens 14 Millionen US-Dollar an nachverfolgbaren Zahlungen. Obwohl dieser Betrag im Vergleich zu den Gesamtlösegeldern gering erscheint, zeigt die Analyse, dass Spitzen in den IAB-Zahlungsströmen spätere Ransomware-Aktivitäten um etwa 30 Tage ankündigen können. Gleichzeitig sank der durchschnittliche Preis für Netzwerkzugänge auf Untergrundmärkten laut dem Cyberkriminalitätsdienst Darkweb IQ von rund 1400 US-Dollar im Jahr 2023 auf unter 440 US-Dollar – ein Zeichen für zunehmende Automatisierung und Marktsättigung.

Behörden und private Unternehmen intensivierten 2025 ihre Bemühungen, nicht nur einzelne Gruppen, sondern die gemeinsame Infrastruktur des Ransomware-Ökosystems zu zerschlagen. Im Rahmen der internationalen Operation Endgame arbeiteten Europol, FBI, das deutsche BKA und weitere Partner zusammen, um zentrale Malware-Loader und Hosting-Dienste abzuschalten. Sanktionen gegen Bulletproof-Hosting-Anbieter wie AEZA Group und Zservers sowie die Zerschlagung des Lumma-Stealer-Netzwerks durch Microsoft zeigen, dass die Strafverfolgung zunehmend auf die Infrastrukturebene zielt. Trotz dieser Fortschritte warnen Experten vor voreiligem Optimismus: Die Angriffe werden raffinierter, die Erpressungstaktiken aggressiver – und der wirtschaftliche Schaden übersteigt die nachverfolgbaren Lösegeldzahlungen bei weitem.