Ransomware nicht mehr nur die Domäne einzelner Hacker, die eigenen Code schreiben. Im Jahr 2025 stieg die Zahl ransomware öffentlich gemeldeten ransomware um 47 % auf mehr als 7.200 Vorfälle, und Forscher verfolgten 124 verschiedene namentlich bekannte Gruppen, die gleichzeitig operierten. Der Kraftmultiplikator hinter dieser Explosion ist ransomware a Service (RaaS) – ein Geschäftsmodell, das es jedem mit Kryptowährung und kriminellen Absichten ermöglicht, Ransomware auf Unternehmensniveau einzusetzen. ransomware . Dieser Artikel erläutert, wie das RaaS-Modell funktioniert, wer die wichtigsten Akteure sind, welche Gruppen derzeit dominieren und – was am wichtigsten ist – wie Verteidiger die Aktivitäten von Affiliates erkennen können, bevor die Verschlüsselung beginnt.
Ransomware a Service (RaaS) ist ein Geschäftsmodell der Cyberkriminalität, bei dem ransomware – sogenannte Betreiber – ransomware erstellen, warten und an andere Kriminelle – sogenannte Partner – vermieten, die die eigentlichen Angriffe durchführen. Die Einnahmen werden durch Abonnements, einmalige Gebühren oder prozentuale Gewinnbeteiligungen aufgeteilt.
Das Modell spiegelt die legitime Software-as-a-Service-Distribution (SaaS) wider. So wie ein Unternehmen eine cloud abonnieren und für seine Geschäftstätigkeit nutzen kann, abonnieren RaaS-Partner eine ransomware und nutzen diese, um Angriffe durchzuführen. Der Betreiber verwaltet die malware , die Infrastruktur, die Zahlungsabwicklung und sogar den Kundensupport. Der Partner übernimmt die Auswahl der Ziele, den ersten Zugriff und die Bereitstellung.
Diese Arbeitsteilung macht RaaS so gefährlich. Bei herkömmlicher ransomware ein einzelner Akteur oder eine einzelne Gruppe über alle erforderlichen Fähigkeiten verfügen – von malware über die Ausnutzung von Netzwerken bis hin zu Lösegeldverhandlungen. RaaS macht diese Anforderung überflüssig und erhöht damit die Zahl potenzieller Angreifer exponentiell.
Das Ausmaß des Problems ist erheblich. Im Jahr 2025 Die Angriffsvolumina stiegen um 47 %. über 2024, mit 124 verschiedene Gruppen verfolgt — ein Anstieg von 46 % gegenüber dem Vorjahr. Ransomware macht Ransomware 20 % aller Cyberkriminalitätsvorfälleund die MITRE ATT&CK klassifiziert die primäre ransomware unter T1486 — Datenverschlüsselung für mehr Wirkung.
ransomware herkömmlicher ransomware einen einzelnen Angreifer oder eine geschlossene Gruppe, die die malware entwickelt und einsetzt. RaaS führt eine Arbeitsteilung zwischen drei oder mehr Parteien ein – Betreiber, Partner und unterstützende Dienstleister. Das Ergebnis ist ein skalierbares kriminelles Unternehmen, das eher wie ein Franchise-Unternehmen als wie ein Einzeltäter funktioniert, wodurch die Eintrittsbarriere drastisch gesenkt und das Angriffsvolumen, mit dem Unternehmen heute konfrontiert sind, erhöht wird.
RaaS-Plattformen arbeiten mit derselben operativen Disziplin wie legitime SaaS-Unternehmen. Das Verständnis dieses Modells ist für Verteidiger von entscheidender Bedeutung, da es aufzeigt, wo im gesamten Angriffszyklus Möglichkeiten zur Erkennung bestehen.
Die Geschwindigkeit dieses Lebenszyklus hat sich drastisch verkürzt. Laut IBM sank die durchschnittliche Zeit vom ersten Zugriff bis ransomware von mehr als 60 Tagen im Jahr 2019 auf 3,84 Tage im Jahr 2025. Diese Beschleunigung bedeutet, dass Verteidiger ein kleineres, aber dennoch nutzbares Zeitfenster für die Erkennung haben.
Betreiber stellen Affiliates umfassende Tools zur Verfügung – Payload-Builder mit Anpassungsoptionen, Dashboards zur Verfolgung von Opfern, automatisierte Zahlungsabwicklung und Command-and-Control-Infrastruktur. Einige Plattformen bieten sogar einen „Kundensupport“, der Affiliates bei der Fehlerbehebung bei der Bereitstellung und bei Verhandlungen mit Opfern unterstützt.
Die Rekrutierung erfolgt in erster Linie über Dark-Web-Foren. Das RAMP-Forum diente als primärer Marktplatz, bis es im Januar 2026 vom FBI beschlagnahmt wurde. Seine mehr als 14.000 Nutzer verteilten sich daraufhin auf Telegram-Kanäle und private Empfehlungsnetzwerke. Die Zugangsvoraussetzungen variieren von Einzahlungen in Höhe von 0,05 BTC bis hin zum Nachweis früherer Angriffsaktivitäten.
Nach ihrer Aufnahme arbeiten die Partner unabhängig. Sie erhalten Zugang zu Payload-Builders, führen ihre eigenen Angriffe durch und verwalten in einigen Modellen die Verhandlungen mit den Opfern. Die Betreiber binden die besten Partner durch verbesserte Payloads, bessere Tools und höhere Umsatzbeteiligungen an sich.
Das Verständnis der RaaS-Preisgestaltung liefert Verteidigern, die das Ausmaß und die Zugänglichkeit der Bedrohung bewerten, wichtige Informationen zum Kontext der Bedrohungslage.
Das Affiliate-Modell dominiert die aktuelle Landschaft. Es gleicht Anreize aus – Betreiber verdienen nur, wenn Affiliates erfolgreich sind – und beseitigt finanzielle Eintrittsbarrieren vollständig. Aus diesem Grund hat ransomware zu einer beispiellosen Zunahme von Angriffen geführt.
Die RaaS-Lieferkette geht weit über die Beziehung zwischen Betreiber und Partner hinaus. Das Modell wird von einem umfassenden kriminellen Ökosystem mit spezialisierten Dienstleistungen in jeder Phase unterstützt.
Ein Initial Access Broker ist ein spezialisierter Angreifer, der Unternehmensnetzwerke kompromittiert und diesen Zugriff an RaaS-Partner verkauft. IABs dienen als Glied in der Lieferkette, das es weniger erfahrenen Partnern ermöglicht, die technisch anspruchsvollste Phase eines Angriffs zu umgehen.
IABs verlangen in der Regel 500 bis 5.000 US-Dollar pro Netzwerkzugang, wobei die Preise von der Größe der Zielorganisation, der Branche und dem Umfang des erhaltenen Zugangs abhängen. Sie sind in Dark-Web-Foren und Telegram-Kanälen aktiv und werben mit dem Zugang zu bestimmten Organisationen oder Sektoren.
Ein bemerkenswertes Beispiel ist TA584, das Proofpoint im Jahr 2026 dokumentierte und das malware „Tsundere Bot“ einsetzte, malware Zugang zu Netzwerken in Nordamerika, Großbritannien und Europa malware verkaufen. Das unterstützende Ökosystem umfasst auch Dienste wie Shanya, einen Packer-as-a-Service, der Affiliates dabei hilft, endpoint zu umgehen. Bulletproof Hosting, Kryptowährungswäsche und Verhandlungsdienste runden das Ökosystem „Cybercrime as a Service“ ab.
Dies ist für Verteidiger von Bedeutung, da Social Engineering und Aufklärung durch IABs bereits Wochen oder Monate vor dem tatsächlichen ransomware stattfinden können, wodurch sich Möglichkeiten zur Früherkennung ergeben.
Tabelle: Vergleich der Verantwortlichkeiten, Umsatzanteile und Risikoprofile der drei wichtigsten Rollen im RaaS-Ökosystem.
Die RaaS-Landschaft im Zeitraum 2025–2026 ist fragmentierter denn je, mit 124 nachverfolgten Gruppen und einer raschen Migration von Partnern zwischen den Plattformen. Um die Abwehrmaßnahmen anzupassen, ist es unerlässlich zu wissen, welche Gruppen derzeit aktiv sind und welche Modelle sie verwenden.
Tabelle: Aktive ransomware , die im vierten Quartal 2025 bis zum ersten Quartal 2026 verfolgt wurden, sortiert nach Marktanteil.
Das Ökosystem befindet sich in ständigem Wandel. Black Basta Anfang 2025 Black Basta , nachdem interne Chat-Leaks seine Aktivitäten offenbarten – Anführer Oleg Nefedov wird nun von INTERPOL mit einer Red Notice gesucht, und die Mitglieder haben sich auf Chaos, INC, Lynx, Cactus und Nokoyawa verteilt. RansomHub brach ebenfalls zusammen, was nur zu einem kurzen Rückgang der Angriffe führte, bevor die Partner zu konkurrierenden Plattformen wechselten.
Diese Fragmentierung birgt für Unternehmen das Risiko von Datenverstößen. Analysten sagen voraus, dass 2026 das erste Jahr sein wird, in dem neue ransomware außerhalb Russlands diejenigen innerhalb Russlands zahlenmäßig übertreffen werden. Dies spiegelt die rasante Globalisierung des Ökosystems und das Aufkommen englischsprachiger Gruppen wie Scattered Spider wider, die ihre eigenen RaaS-Plattformen Scattered Spider .
Erpressungstaktiken haben sich von einfacher Verschlüsselung zu mehrschichtigen Druckkampagnen weiterentwickelt, wobei die Erpressung nur mit Daten im Zeitraum 2025–2026 an Wirksamkeit verliert.
Die aktuelle Lage zeigt eine überraschende Trendwende. Laut Sophos führten im Jahr 2025 nur 50 % der Angriffe zu einer Verschlüsselung – gegenüber 70 % im Jahr 2024 –, da viele Gruppen zu Strategien übergingen, die sich ausschließlich auf Datenexfiltration konzentrierten. Die Daten von Coveware für das vierte Quartal 2025 zeigen jedoch, dass dieser Ansatz an Bedeutung verliert. Die Zahlungsraten für reine Datenexfiltration sanken auf etwa 25 %, und die Gesamtzahlungsraten für Lösegeld erreichten im vierten Quartal 2025 mit etwa 20 % einen historischen Tiefstand.
Dieser Rückgang deutet darauf hin, dass es 2026 wieder zu Angriffen mit Schwerpunkt auf Verschlüsselung kommen könnte, wobei Gruppen wie Akira und Qilin diesen Ansatz bereits verfolgen. Verteidiger sollten sich auf beide Vektoren vorbereiten.
RaaS-Angriffe stiegen im Jahr 2025 um 47 % auf 7.200 öffentlich gemeldete Vorfälle, die Unternehmen durchschnittlich 4,91 Millionen US-Dollar pro Sicherheitsverletzung kosteten.
Die Finanzlage zeigt eine komplexe Dynamik. ransomware gingen 2024 um 35 % auf 813,55 Millionen US-Dollar zurück, obwohl die Anzahl der Angriffe stark anstieg und die durchschnittliche Lösegeldforderung 2025 auf 1 Million US-Dollar sank. Die häufigsten Angriffsvektoren waren ausgenutzte Schwachstellen (32 %), kompromittierte Anmeldedaten (23 %) und phishing. Im verarbeitenden Gewerbe stieg die Zahl der Angriffe im Jahresvergleich um 61 % und machte 14 % aller Angriffe aus, während das Gesundheitswesen im Jahr 2025 445 Angriffe erlitt.
Scattered Spider nutzten ransomware DragonForce, ransomware den Einzelhandelsbetrieb von M&S wochenlang zu stören, was zu einem geschätzten Verlust von 300 Millionen GBP an Betriebsgewinn führte.
Lektion: Social Engineering und Identitätsdiebstahl bleiben auch gegen ausgereifte Sicherheitsprogramme wirksam. Netzwerksegmentierung und schnelle Erkennung lateraler Bewegungen sind entscheidend, um die Aktivitäten von Affiliates nach dem ersten Zugriff einzudämmen.
Die Qilin-Betreiber forderten 50 Millionen Dollar Lösegeld, nachdem sie 400 GB Patientendaten gestohlen hatten, von denen mehr als 900.000 Personen betroffen waren. Über 800 NHS-Operationen wurden abgesagt, und es wurde bestätigt, dass die Datenpanne zu einem Todesfall bei einem Patienten beigetragen hatte.
Lektion: Organisationen im Gesundheitswesen sind aufgrund ihrer lebenswichtigen Aufgaben unverhältnismäßig stark von Angriffen betroffen. Die Sicherheitsbewertung von Drittanbietern und die Netzwerksegmentierung sind daher unerlässlich.
Eine einzige kompromittierte VPN-Anmeldeinformation ohne aktivierte Multi-Faktor-Authentifizierung ermöglichte es DarkSide-Mitgliedern, die größte US-Kraftstoffpipeline für sechs Tage lahmzulegen. Colonial zahlte etwa 5 Millionen US-Dollar Lösegeld, während rund 100 GB an Daten gestohlen wurden.
Lektion: Grundlegende Sicherheitsmaßnahmen – MFA für alle Fernzugriffe, Netzwerksegmentierung, Passwortverwaltung – verhindern die meisten RaaS-Erstzugriffsvektoren. Dieser einzelne Vorfall löste eine nationale Debatte über die Sicherheit kritischer Infrastrukturen aus.
Eine internationale Koalition aus 10 Ländern beschlagnahmte die Infrastruktur, den Quellcode und die Entschlüsselungscodes von LockBit. LockBit hatte mehr als 2.000 Opfer gefordert und 120 Millionen Dollar oder mehr erpresst. Im zweiten Halbjahr 2024 gingen die Zahlungen um 79 % zurück.
Lektion: Durch Strafverfolgungsmaßnahmen werden einzelne Operationen erheblich gestört, aber sie tragen zur Fragmentierung des Ökosystems bei. Partner wechseln zu anderen Plattformen – daher sind kontinuierliche, adaptive Strategien zur Reaktion auf Vorfälle erforderlich, anstatt sich auf einzelne Störereignisse zu verlassen.
Ein Erkennungsfenster von 4 bis 5 Tagen zwischen dem ersten Zugriff und der Verschlüsselung ermöglicht die Verhaltenserkennung von RaaS-Partneraktivitäten auf Netzwerk- und Identitätsebene.
Mit einer mittleren Verweildauer von vier bis fünf Tagen und einer durchschnittlichen Zeit von 17 Stunden zwischen der seitlichen Bewegung und der Verschlüsselung haben Verteidiger eine echte Chance, RaaS-Angriffe zu stoppen, bevor die Nutzlast fällt. Der Schlüssel liegt darin, von reinen Präventionsstrategien zu einer Erkennung von Kompromittierungen überzugehen.
Grundlegende Präventionsmaßnahmen bleiben unverzichtbar:
Prävention allein reicht jedoch nicht aus. Sowohl der CISA #StopRansomware Guide als auch ransomware empfehlen mehrschichtige Abwehrmaßnahmen über alle Sicherheitsfunktionen hinweg.
Tabelle: MITRE ATT&CK für gängige Taktiken, Techniken und Verfahren von RaaS-Partnern mit empfohlenen Erkennungsansätzen.
Bei einer mittleren Verweildauer von vier bis fünf Tagen stellt jede Stunde zwischen dem ersten Zugriff und der Verschlüsselung eine Chance dar. Die Netzwerküberwachung und -reaktion identifiziert C2-Beaconing-Muster, laterale Bewegungen über SMB und RDP sowie Datenstaging-Vorgänge, bevor die Verschlüsselung beginnt.
Die Erkennung und Reaktion auf Identitätsbedrohungen deckt Muster des Missbrauchs von Anmeldedaten auf, die von signaturbasierten Tools übersehen werden – Kerberoasting , Pass-the-Hash-, Golden-Ticket-Angriffe und DCSync-Operationen.
Die Erkennung von Verhaltensbedrohungen ist besonders wichtig, wenn endpoint umgangen werden. Gruppen wie Reynolds nutzen BYOVD-Techniken (Bring-Your-Own-Vulnerable-Driver) und Dienste wie Shanyas Packer-as-a-Service zielen speziell auf die Umgehung von EDR ab. Threat hunting , die sich auf Netzwerk- und Identitätsanomalien konzentrieren, erkennen das, was Strategien, die sich endpoint, übersehen.
Das RaaS-Modell erfordert eine umfassende Verteidigung über die gesamte Kill Chain hinweg, nicht nur am endpoint. Die Branche verlagert sich von reinen Präventionsstrategien hin zu einer Erkennung von Kompromittierungen, die das Zeitfenster vor der Verschlüsselung nutzt.
Effektive moderne Ansätze kombinieren Netzwerküberwachung und -reaktion mit Identitäts- und Verhaltensanalysen, automatisierten Reaktionsfunktionen und SOC-Automatisierung, um Angriffe während des Erkennungszeitraums einzudämmen. Die KI-gestützte Erkennung von Bedrohungen hält mit den KI-beschleunigten RaaS-Operationen Schritt, die die Angriffsdauer von Monaten auf Tage verkürzen.
Die „Assume-Compromise“-Philosophie Vectra AI steht in direktem Einklang mit dem RaaS-Erkennungsfenster. Anstatt sich ausschließlich auf die Verhinderung des ersten Zugriffs zu konzentrieren, Attack Signal Intelligence auf die Erkennung von Angreiferverhalten – C2-Beaconing, laterale Bewegung, Privilegieneskalation und Datenstaging – in Netzwerk-, Identitäts-, cloud und SaaS-Umgebungen. Diese einheitliche Beobachtbarkeit bietet die Signalklarheit, die Sicherheitsteams benötigen, um RaaS-Partner zu stoppen, bevor die Verschlüsselung beginnt.
Ransomware hat die Bedrohungslandschaft von einzelnen Akteuren zu einer skalierbaren kriminellen Industrie mit spezialisierten Rollen, wettbewerbsorientierter Ökonomie und raschen Innovationen verändert. Die Landschaft für 2025–2026 – mit 124 aktiven Gruppen, sinkenden Zahlungsquoten und aufkommenden Kartellmodellen – deutet auf ein Ökosystem im Wandel hin, das jedoch nicht im Niedergang begriffen ist.
Für Verteidiger ist die operative Realität klar. RaaS-Partner folgen vorhersehbaren Verhaltensmustern – sie verschaffen sich Zugang, bewegen sich lateral, erweitern ihre Berechtigungen, bereiten Daten vor und setzen Payloads ein. Das vier- bis fünftägige Erkennungsfenster zwischen dem ersten Zugriff und der Verschlüsselung ist keine Schwachstelle. Es ist eine Chance.
Unternehmen, die von reinen Präventionsstrategien zu einer Kombination aus Netzwerkverhaltensanalyse, Identitätsbedrohungserkennung und automatisierten Reaktionen übergehen, sind in der Lage, Aktivitäten von Affiliates zu erkennen, bevor die Verschlüsselung beginnt. Die Angreifer haben sich industrialisiert. Die Verteidigung muss sich entsprechend weiterentwickeln.
Erfahren Sie, wie Vectra AI das Verhalten ransomware in Netzwerk-, Identitäts- und cloud Vectra AI .
Ransomware a Service ist ein Geschäftsmodell der Cyberkriminalität, bei dem ransomware (Betreiber) ransomware erstellen und warten, die andere Kriminelle (Partner) für Angriffe nutzen können. Das Modell spiegelt legitime SaaS-Geschäfte wider, wobei Partner über Abonnements, einmalige Gebühren oder Umsatzbeteiligungsvereinbarungen bezahlen. Betreiber kümmern sich um malware , die Infrastruktur, die Zahlungsabwicklung und den Support. Partner kümmern sich um die Auswahl der Ziele, den ersten Zugriff und die Bereitstellung. Diese Arbeitsteilung ist der Grund, warum im Jahr 2025 124 verschiedene Gruppen verfolgt wurden – die Eintrittsbarriere war noch nie so niedrig.
Die Preise für RaaS variieren stark je nach Modell und Plattformqualität. Monatliche Abonnements beginnen bei etwa 40 US-Dollar für den Basiszugang. Einmalige Lizenzen reichen von 500 bis 84.000 US-Dollar für Premium-Kits mit erweiterten Ausweichfunktionen. Affiliate-Programme erfordern keine Vorabkosten, verlangen jedoch 20 bis 40 % der Lösegeldzahlungen. Bei einigen Programmen ist eine Einzahlung (z. B. 0,05 BTC) erforderlich, um beizutreten. Das Verständnis dieser Preispunkte hilft Sicherheitsverantwortlichen, den Stakeholdern eines Unternehmens zu vermitteln, warum RaaS-basierte Angriffe so weit verbreitet sind – die finanziellen Hürden für die Durchführung eines Angriffs sind im Vergleich zum potenziellen Gewinn minimal.
Nein. Das Erstellen, Verbreiten oder Verwenden ransomware in nahezu allen Rechtsordnungen illegal. RaaS-Betreiber und deren Partner müssen mit schweren strafrechtlichen Sanktionen rechnen, darunter auch lange Haftstrafen. Im Dezember 2025 bekannten sich zwei US-amerikanische Cybersicherheitsexperten schuldig, ransomware ALPHV/BlackCat eingesetzt zu haben. Dies zeigt, dass die Strafverfolgungsbehörden alle Beteiligten in der RaaS-Lieferkette aktiv verfolgen. Internationale Operationen wie die Operation Cronos gegen LockBit zeugen von einer zunehmenden grenzüberschreitenden Zusammenarbeit bei der Strafverfolgung.
ransomware herkömmlicher ransomware entwickelt und setzt ein einzelner Akteur oder eine einzelne Gruppe die malware ransomware RaaS sind diese Rollen getrennt: Betreiber erstellen und warten die Plattform, während Partner mit möglicherweise begrenzten technischen Fähigkeiten die eigentlichen Angriffe durchführen. Diese Arbeitsteilung erhöht die Zahl potenzieller Angreifer erheblich. Während an herkömmlichen ransomware möglicherweise nur eine Handvoll erfahrener Betreiber beteiligt sind, kann eine einzige RaaS-Plattform Hunderte von Partnern in die Lage versetzen, gleichzeitig unabhängige Kampagnen durchzuführen.
Ein Initial Access Broker (IAB) ist ein spezialisierter Bedrohungsakteur, der Unternehmensnetzwerke kompromittiert und diesen Zugang an RaaS-Partner verkauft. IABs verlangen in der Regel 500 bis 5.000 US-Dollar pro Netzwerkzugang und sind in Dark-Web-Foren und Telegram-Kanälen aktiv. Sie dienen als Glied in der Lieferkette, das es weniger erfahrenen Partnern ermöglicht, die anfängliche Kompromittierungsphase vollständig zu umgehen. Das RAMP-Forum war bis zu seiner Beschlagnahmung durch das FBI im Januar 2026 ein wichtiger Marktplatz für IABs. Danach verlagern sich die Aktivitäten auf private Kanäle und verschlüsselte Messaging-Plattformen.
RaaS hat die Einstiegshürde für Cyberkriminelle gesenkt, da keine technischen Fachkenntnisse mehr für malware erforderlich sind. Affiliates erhalten fertige Tools, Infrastruktur und Support, sodass Betreiber mit unterschiedlichen Kenntnissen komplexe Angriffe durchführen können. Die wirtschaftlichen Aspekte sind überzeugend – Partnerprogramme erfordern keine Vorabinvestitionen und bieten Umsatzbeteiligungen von 60 bis 80 %. In Kombination mit IABs, die fertige Netzwerkzugänge verkaufen, kann die gesamte Angriffskette ohne tiefgreifende technische Kenntnisse zusammengestellt werden. Dies trug zu einem Anstieg der öffentlich gemeldeten ransomware um 47 % im Jahr 2025 bei.
Die Verteidigung erfordert einen mehrschichtigen Ansatz über die gesamte Kill Chain hinweg. Implementieren Sie MFA für alle Fernzugriffe und privilegierten Konten. Halten Sie regelmäßig getestete, verschlüsselte Offline-Backups bereit. Setzen Sie Netzwerksegmentierung ein, um laterale Bewegungen zu begrenzen. Beheben Sie bekannte Schwachstellen umgehend – ausgenutzte Schwachstellen machen 32 % ransomware aus. Verwenden Sie Tools zur Verhaltenserkennung – NDR und ITDR –, um Aktivitäten von Affiliates während des Zeitfensters von vier bis fünf Tagen zwischen dem ersten Zugriff und der Verschlüsselung zu identifizieren. Melden Sie Vorfälle den Strafverfolgungsbehörden, wodurch pro Vorfall etwa 1 Million US-Dollar eingespart werden können. Befolgen Sie den CISA #StopRansomware-Leitfaden für umfassende Anleitungen.