Ransomware-Lagebild 2025 – Erkenntnisse aus Forensik und Threat Intelligence
Vortragszeit: in Halle 7 Forum D
Dienstag, 7. Oktober 2025 von 11:30 Uhr bis 11:45 Uhr
Worum geht’s?
Aktuelle Taktiken von LockBit 4.0, Akira, RansomHub & Co. und was Vorfallsanalysen unseres CERTs darüber verraten
Sie möchten mehr erfahren und an der it-sa teilnehmen? Informieren Sie sich jetzt und sichern Sie sich Ihre Tickets!
Inhalte im Detail
Die Bedrohung durch Ransomware zählt auch 2025 zu den gravierendsten Sicherheitsrisiken. Im ersten Halbjahr hat unser CERT mehr als 50 Vorfälle forensisch untersucht und mehrere Hundert weitere anhand von Telemetriedaten ausgewertet.
In diesem Vortrag verdichten wir die zentralen Erkenntnisse zu LockBit 4.0 und Akira sowie zu den aufstrebenden Gruppen RansomHub, Ralord, Fog und Lynx. Gemeinsame Merkmale sind der Erstzugriff über ungepatchte VPN- und Edge-Geräte, die laterale Bewegung mithilfe legitimer Admin-Tools, der Datenabfluss via DNS-Tunneling und eine zunehmende „Exfil-only“-Erpressung ohne Verschlüsselung. Ergänzend untersuchen wir neue Angriffsmuster wie MFA-Fatigue-Attacken und den Missbrauch von Backup-Appliances als Pivot-Punkte.
Aus diesen Befunden leiten wir konkrete Abwehrmaßnahmen ab – von konsequenter Netzwerksegmentierung über Threat-Intel-gestützte Detection bis hin zu dynamischen Incident-Response-Playbooks.
Dienstag, 7. Oktober 2025 von 11:30 Uhr bis 11:45 Uhr
Worum geht’s?
Aktuelle Taktiken von LockBit 4.0, Akira, RansomHub & Co. und was Vorfallsanalysen unseres CERTs darüber verraten
Sie möchten mehr erfahren und an der it-sa teilnehmen? Informieren Sie sich jetzt und sichern Sie sich Ihre Tickets!
Inhalte im Detail
Die Bedrohung durch Ransomware zählt auch 2025 zu den gravierendsten Sicherheitsrisiken. Im ersten Halbjahr hat unser CERT mehr als 50 Vorfälle forensisch untersucht und mehrere Hundert weitere anhand von Telemetriedaten ausgewertet.
In diesem Vortrag verdichten wir die zentralen Erkenntnisse zu LockBit 4.0 und Akira sowie zu den aufstrebenden Gruppen RansomHub, Ralord, Fog und Lynx. Gemeinsame Merkmale sind der Erstzugriff über ungepatchte VPN- und Edge-Geräte, die laterale Bewegung mithilfe legitimer Admin-Tools, der Datenabfluss via DNS-Tunneling und eine zunehmende „Exfil-only“-Erpressung ohne Verschlüsselung. Ergänzend untersuchen wir neue Angriffsmuster wie MFA-Fatigue-Attacken und den Missbrauch von Backup-Appliances als Pivot-Punkte.
Aus diesen Befunden leiten wir konkrete Abwehrmaßnahmen ab – von konsequenter Netzwerksegmentierung über Threat-Intel-gestützte Detection bis hin zu dynamischen Incident-Response-Playbooks.
