Die Bedrohung durch Ransomware zählt auch 2025 zu den gravierendsten Sicherheitsrisiken. Im ersten Halbjahr hat unser CERT mehr als 50 Vorfälle forensisch untersucht und mehrere Hundert weitere anhand von Telemetriedaten ausgewertet. In diesem Vortrag verdichten wir die zentralen Erkenntnisse zu LockBit 4.0 und Akira sowie zu den aufstrebenden Gruppen RansomHub, Ralord, Fog und Lynx. Gemeinsame Merkmale sind der Erstzugriff über ungepatchte VPN- und Edge-Geräte, die laterale Bewegung mithilfe legitimer Admin-Tools, der Datenabfluss via DNS-Tunneling und eine zunehmende „Exfil-only“-Erpressung ohne Verschlüsselung. Ergänzend untersuchen wir neue Angriffsmuster wie MFA-Fatigue-Attacken und den Missbrauch von Backup-Appliances als Pivot-Punkte. Aus ...