Nach Angriffen in Deutschland: SafePay nun weltweit führende Ransomware-Bedrohung

Im Mai ist SafePay im Top Malware Ranking von Sicherheitsanbieter Check Point zu einer der wichtigsten Ransomware-Gruppen aufgestiegen, während FakeUpdates eine globale Bedrohung bleibt.

Check Point Software hat seinen Global Threat Index für Mai 2025 veröffentlicht.

Check Point Research kommt in seinem neuesten Bericht zu dem Schluss, dass die Ransomware-Gruppe SafePay andere Akteure überholt hat und unter allen Hackern, die sich der Strategie Doppelter Erpressung bedienen, nun die aktivste Gruppe ist. In Check Points Ransomware-Bericht für Q1 2025 hatten die IT-Forensiker SafePay noch zur aktivsten Ransomware-Gruppe in Deutschland erklärt. Hierzulande waren sie im ersten Quartal für ein Viertel aller gemeldeten Vorfälle verantwortlich. Nun hat SafePay seine Operationen offenbar erweitert.

Außerdem bleibt unter den am weitesten verbreiteten Malwares FakeUpdates die dominante Schad-Software, die sich auf Organisationen weltweit ausgebreitet hat.

Das Bildungswesen ist nach wie vor die am stärksten angegriffene Branche, was auf die anhaltenden Schwachstellen in allen Einrichtungen zurückzuführen ist.

Im Mai starteten Europol, das FBI, Microsoft und andere Partner eine groß angelegte Operation gegen Lumma, eine bekannte Malware-as-a-Service-Plattform. Bei dieser Aktion wurden Tausende von Domänen beschlagnahmt, wodurch der Betrieb erheblich gestört wurde. Es wurde jedoch behauptet, dass die in Russland ansässigen Haupt-Server von Lumma funktionsfähig blieben und die Entwickler stellten die Infrastruktur wohl schnell wieder her. Dennoch schadete die Aktion dem Ruf des kriminellen Unternehmens, indem die Behörden selbst psychologische Taktiken wie Phishing gegen die kriminellen Nutzer einsetzte und Misstrauen unter ihnen schürte. Obwohl die technische Störung erheblich war, sind weiterhin Daten im Umlauf, die mit Lumma in Verbindung stehen, was Bedenken hinsichtlich der langfristigen Auswirkungen des Angriffs aufkommen lässt.

Lotem Finkelstein, Director of Threat Intelligence bei Check Point Software Technologies, erklärt: „Die Daten unterstreichen die zunehmende Raffinesse der Taktiken von Cyber-Kriminellen. Mit dem Aufstieg von Gruppen wie SafePay und der anhaltenden Bedrohung durch FakeUpdates müssen Unternehmen präventive, mehrschichtige Sicherheitsmaßnahmen ergreifen. Da Cyber-Bedrohungen immer fortschrittlicher werden, ist es von entscheidender Bedeutung, den sich entwickelnden Angriffen mit Echtzeit-Bedrohungsdaten und robusten Verteidigungsmaßnahmen einen Schritt voraus zu sein.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat. In Klammern findet sich der prozentuale Anteil an allen Malware-Infektionen im jeweiligen Raum.

1. ↔  FakeUpdates (Deutschland: 2,22 %, Global: 5,41 %): FakeUpdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals im Jahr 2018 entdeckt wurde. Sie wird über Drive-by-Downloads über kompromittierte oder bösartige Websites verbreitet und fordert die Nutzer auf, ein gefälschtes Browser-Update zu installieren. Die FakeUpdates-Malware wird mit der russischen Hackergruppe Evil Corp in Verbindung gebracht. Sie soll nach der ersten Infektion verschiedene sekundäre Nutzlasten liefern.
2. ↑ Androxgh0st (DE: 2,03 %, Global: 2,60 %): AndroxGh0st ist eine auf Python basierte Malware, die auf Anwendungen zielt, die das Laravel-PHP-Framework verwenden, indem sie nach exponierten .env-Dateien sucht, die sensible Informationen, wie Anmeldedaten für Dienste, darunter AWS, Twilio, Office 365 und SendGrid, enthalten. Der Schädling nutzt ein Bot-Netz, um Websites mit Laravel zu identifizieren und vertrauliche Daten zu stehlen. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für verschiedene Aktivitäten, wie das Mining von Krypto-Währungen, ausnutzen.
3. ↓ Remcos (DE: 1,64 %, Global: 2,88 %): Remcos ist ein Remote Access Trojaner (RAT), der erstmals 2016 auftauchte. Remcos verbreitet sich über bösartige Microsoft-Office-Dokumente, die an SPAM-E-Mails angehängt sind, und ist darauf ausgelegt, die UAC-Sicherheit von Microsoft Windows zu umgehen und Malware mit hohen Rechten auszuführen.

Meist angegriffene Branchen und Sektoren in Deutschland:

Im Mai war das Bildungswesen weiterhin der am häufigsten attackierte Bereich, während die Telekommunikationsbranche auf Platz zwei aufstieg. Energie und Versorgungsunternehmen steigen neu ein und ersetzen Biotechnologie und Pharmazie auf Platz drei.

1. ↔ Bildung
2. ↑ Telekommunikation
3. ↑ Energie und Versorgungsunternehmen

Top Mobile Malware

1. ↔ Anubis – Anubis ist ein vielseitiger Banking-Trojaner, der ursprünglich für Android-Geräte entwickelt wurde und inzwischen erweiterte Funktionen, wie das Umgehen der Multi-Faktor-Authentifizierung (MFA) durch das Abfangen von SMS-Einmal-Passwörtern (OTPs), Keylogging, Audio-Aufzeichnung und Ransomware-Funktionen, bietet. Er wird häufig über bösartige Apps im Google Play Store verbreitet und hat sich zu einer der am weitesten verbreiteten Handy-Malware-Familien entwickelt. Darüber hinaus enthält Anubis sogar RAT-Funktionen (Remote Access Trojan), die eine umfassende Überwachung und Kontrolle der infizierten Systeme ermöglichen.
2. ↔ AhMyth – AhMyth ist ein RAT, der es auf Android-Geräte abgesehen hat und in der Regel als legitime Apps wie Bildschirmaufzeichnungsprogramme, Spiele oder Krypto-Währungs-Tools getarnt ist. Nach der Installation erhält er weitreichende Berechtigungen, um nach einem Neustart weiter zu bestehen und sensible Informationen, wie Bankdaten, Details zu Krypto-Währungs-Geldbörsen, Codes für die Multi-Faktor-Authentifizierung (MFA) und Passwörter, zu stehlen. AhMyth ermöglicht auch Keylogging, Screen-Capture, Kamera- und Mikrofonzugriff sowie das Abfangen von SMS und ist damit ein vielseitiges Tool für den Datendiebstahl und andere bösartige Aktivitäten.
3. ↑ Necro – Necro ist ein schädlicher Android-Downloader, der auf der Grundlage von Befehlen seiner Schöpfer schädliche Komponenten auf infizierte Geräte lädt und dort ausführt. Er wurde in mehreren beliebten Apps auf Google Play entdeckt, sowie in modifizierten Versionen von bekannten Apps auf inoffiziellen Plattformen, darunter Spotify, WhatsApp und Minecraft. Necro ist in der Lage, gefährliche Module auf Smartphones herunterzuladen und Aktionen, wie das Anzeigen und Anklicken von unsichtbarer Werbung, das Herunterladen ausführbarer Dateien und die Installation von Drittanbieter-Apps, zu ermöglichen. Er kann auch verborgene Fenster öffnen, um JavaScript auszuführen, wodurch Benutzer möglicherweise bei unerwünschten kostenpflichtigen Diensten angemeldet werden. Darüber hinaus kann Necro den Internet-Verkehr über kompromittierte Geräte umleiten und sie so in ein Proxy-Bot-Netz für Cyber-Kriminelle verwandeln. 

Wichtigste Ransomware-Gruppen

In diesem Monat erweist sich SafePay erstmals als die größte Ransomware-Bedrohung, wobei eine neue Generation von Akteuren sowohl große Unternehmen als auch kleinere Firmen ins Visier nimmt. Die Taktik dieser Gruppen wird raffinierter und der Wettbewerb zwischen ihnen immer intensiver.

Die Daten basieren auf Erkenntnissen von sogenannten “Ransomware-Shame-Sites“, die von Ransomware-Gruppen mit Doppelter Erpressung als Methode betrieben werden:

1. SafePay – SafePay ist eine Ransomware-Gruppe, die erstmals im November 2024 beobachtet wurde und deren Verhalten auf eine mögliche russische Zugehörigkeit hindeuten. Die Gruppe arbeitet mit Doppelter Erpressung: Sie verschlüsselt die Dateien der Opfer und stiehlt gleichzeitig sensible Daten, um den Druck durch das Lösegeld zu erhöhen. Obwohl SafePay nicht als Ransomware-as-a-Service (RaaS) operiert, hat es eine ungewöhnlich hohe Zahl von Opfern verzeichnet. Seine zentralisierte, intern gesteuerte Struktur führt zu konsistenten Taktiken, Techniken und Verfahren (TTPs) und gezielten Angriffen.
2. Qilin – Qilin, auch Agenda genannt, ist eine kriminelle Ransomware-as-a-Service-Operation, die mit Partner-Unternehmen zusammenarbeitet, um Daten von kompromittierten Organisationen zu verschlüsseln und zu stehlen sowie anschließend ein Lösegeld zu fordern. Diese Ransomware-Variante wurde erstmals im Juli 2022 entdeckt und wird in Golang entwickelt. Qilin ist dafür bekannt, dass sie es auf große Unternehmen und hochwertige Organisationen abgesehen hat, wobei der Schwerpunkt auf dem Gesundheits- und Bildungswesen liegt. Qilin infiltriert die Opfer in der Regel über Phishing-E-Mails, die schädliche Links enthalten, um sich Zugang zu ihren Netzwerken zu verschaffen und vertrauliche Informationen zu stehlen. Nach dem Eindringen bewegt sich Qilin in der Regel seitlich durch die Infrastruktur des Opfers und sucht nach wichtigen Daten, die es verschlüsseln kann.
3. Play – Play Ransomware, auch als PlayCrypt bezeichnet, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte, gültige Benutzerkonten oder durch Ausnutzung offener Schwachstellen, wie in Fortinet SSL VPNs, Zugang zu Netzwerken. Sobald sie im Netzwerk ist, nutzt sie verschiedene Techniken, wie die Verwendung von LOLBins (Living Off The Land Binaries) für kriminelle Aufgaben, wie Datendiebstahl und Raub von Anmeldeinformationen.

Die Daten des Mai 2025 zeigen, dass ausgeklügelte, mehrstufige Malware-Kampagnen zunehmen, wobei SafePay auch über Deutschland hinaus zu einer der gefährlichsten Ransomware-Bedrohungen wird. Während FakeUpdates seine Position als am weitesten verbreitete Malware beibehält, zeigen neue Akteure, wie SafePay und die laufenden Operationen gegen Lumma Infostealer, die ansteigende Komplexität von Cyber-Angriffen. Das Bildungswesen ist nach wie vor ein Hauptziel, was die Notwendigkeit für Organisationen unterstreicht, präventive, mehrschichtige Sicherheitsmaßnahmen zu ergreifen, um sich gegen diese zunehmend raffinierten Bedrohungen zu schützen.

Weitere Artikel

Cyberangriffe auf Finanzdienstleister nehmen zu: EU- Sicherheitsstandard DORA soll Abhilfe schaffen SentinelOne integriert AWS Elastic Disaster Recovery – Besserer Schutz vor Ransomware-Angriffen TÜV SÜD: Das sind die Cybersecurity-Trends 2021 Europol setzt Botnetz außer Kraft: Anwender müssen in Zukunft Vorkehrungen treffen