NCC Group sieht Seitwärtsbewegung – INC Ransom führt, Industrie bleibt Hauptziel
Nach einem rekordverdächtigen Jahresauftakt hat sich die Ransomware-Aktivität im Juli 2025 weitgehend eingependelt. Laut dem aktuellen Monthly Threat Pulse der NCC Group stiegen die weltweit erfassten Opferfälle lediglich um 1 % von 371 im Juni auf 376 im Juli. Sicherheit gibt das nicht: Die Analysten warnen, das Plateau dürfe nicht als Entwarnung missverstanden werden.
Die wichtigsten Zahlen auf einen Blick
- 376 Fälle im Juli, +1 % MoM (Juni: 371).
- INC Ransom war aktivste Gruppe mit 54 Angriffen (14 %); Qilin und Safepay folgen mit je 40, Akira mit 37.
- Industrie bleibt Top-Ziel mit 27 % / 101 Vorfällen; Consumer Discretionary inkl. Retail 82, IT 31, Gesundheit 30.
- Regional dominieren Nordamerika (54 % / 204) und Europa (21 % / 78); Asien 12 % / 43, Südamerika 6 % / 22.
Trendbild: Sommerflaute, aber keine Entwarnung
Die Seitwärtsbewegung im Juli reiht sich in eine Entspannung seit dem Frühjahr ein: Schon im Juni sanken die Fälle auf 371, und im gesamten zweiten Quartal lag das Volumen laut NCC Group 43 % unter Q1 – begünstigt durch saisonale Effekte (u. a. Feiertage) und Strafverfolgungserfolge. Dass das Sommerloch täuschen kann, zeigt die Warnung der Analysten: Disruptierte Gruppen dürften zurückkehren und sich mit Social-Engineering-Akteuren für komplexere Kampagnen zusammentun.
Gruppen-Ranking: INC Ransom setzt sich an die Spitze
Im Juli führt INC Ransom mit 54 bestätigten Opfern (14 %) – nach einem klaren Aufwärtstrend seit dem Frühjahr und mit gezielten Attacken auf Critical National Infrastructure (CNI). Dahinter folgen Qilin und Safepay (je 40) sowie Akira (37). Bemerkenswert: Während die NCC Group INC Ransom an der Spitze sieht, listeten einige Leakseitentracker für Juli abweichend Qilin an Platz 1 – ein Hinweis darauf, dass Methodik (Opferzählung vs. Leak-Posts) das Ranking beeinflusst.
Die jüngste Sichtbarkeit von INC Ransom erklärt sich auch durch prominente US-Fälle aus Spät-2024/Früh-2025: Die Gruppe reklamierte u. a. den Angriff auf Ahold Delhaize USA (Food Lion, Giant, Stop & Shop, Hannaford); betroffene Unternehmen meldeten im Juni/Juli 2025 die Exposition von Daten von mehr als 2 Mio. Personen.
Branchenfokus: Industrie bleibt Hauptangriffsfläche
Mit 27 % (101) aller erfassten Vorfälle führt die Industrie die Liste der am häufigsten betroffenen Sektoren erneut an. Retail-nahe Consumer Discretionary bleibt mit 82 Fällen unter Druck, gefolgt von IT (31) und Healthcare (30). Für Betreiber industrieller Umgebungen bestätigt das die Notwendigkeit, OT-Netze konsequent abzusichern und bekannte Einfallstore – etwa Edge-Gateways, VPN-Appliances und Remote-Access-Lösungen – enger zu kontrollieren.
Geografie: Der Westen bleibt das Hauptschlachtfeld
Nordamerika verzeichnete im Juli 54 % der Fälle, Europa 21 %. Asien lag bei 12 %, Südamerika bei 6 %. Damit bleibt die Asymmetrie hoch – Europa hat weniger als die Hälfte des nordamerikanischen Niveaus.
Politik und Regulierung: UK plant Ransom-Zahlungsverbote
Parallel zur Marktlage verschärfen Regierungen den Kurs: Das Vereinigte Königreich will Ransom-Zahlungen für öffentliche Einrichtungen und Betreiber kritischer Infrastrukturen verbieten und eine Meldepflicht vorbereiten. Ziel ist es, das Geschäftsmodell der Erpresser zu zerschlagen und Strafverfolger mit mehr Daten zu versorgen.
TTK: Taktiken, Techniken, Kampagnen
NCC Group verweist auf andauernde Ausnutzung bekannter Schwachstellen durch die aktivsten Gruppen. INC Ransom fiel in den vergangenen Monaten u. a. durch das Ausnutzen von Schwachstellen an Citrix-Komponenten auf – kombiniert mit Doppelerpressung (Datenexfiltration plus Verschlüsselung) und aggressiver Leaks-Kommunikation. Unternehmen sollten Exploit-exponierte Produkte (Remote-Zugänge, Gateways, Virtualisierung, Backup-Software) priorisiert patchen und harte Segmentierung durchsetzen.
Einordnung: Warum sich Zählweisen unterscheiden
Je nach Quelle variieren die Juli-Totals: Während die NCC Group 376 Opfer zählt (Validierung durch Threat-Intelligence-Pipelines), erfassen Leak-Site-Crawler teils höhere oder niedrigere Zahlen, weil sie nur öffentlich gepostete Erpressungen berücksichtigen. So meldete Cyble für Juli u. a. Qilin als aktivste Gruppe – ein anderes Bild als bei der NCC Group. Für Verteidiger zählt daher weniger das absolute Ranking als die wiederkehrenden Muster: Zugang über Edge-Schwachstellen, schneller Hands-on-Keyboard-Lateral Move und anschließende Datenexfiltration.
Handlungsempfehlungen für Unternehmen
- Patch-Fenster verkürzen für Internet-exponierte Systeme (VPN, VDI, Citrix/VM-Gateways, Backup-Konsolen). Change Freeze in der Urlaubszeit kritisch prüfen.
- MFA überall (auch für Admin-Konten & Service-Accounts), plus phishing-resistente Verfahren für kritische Zugänge.
- Netzsegmentierung & EDR: OT/IT trennen, Servicekonten least privilege, Telemetrie für laterale Bewegungen priorisieren.
- Backups nach 3-2-1-Regel, regelmäßig Restore-Drills – auch bei großvolumigen File-Shares und Datenbanken.
- Runbooks & Vorfallübungen: Zahlungssperren-Policy, Kommunikationslinien, Tabletop-Tests mit Management.
Weiterführende Quellen & vertiefende Lektüre
- NCC Group: Monthly Threat Pulse – Review of July 2025 (Offizielle Zahlen zu Juli, Gruppen-Ranking, Sektoren, Regionen).
- ComputerWeekly: Ransomware activity levelled off in July, says NCC (Zusammenfassung, Kontext zu INC Ransom & CNI).
- Dark Reading: Ransomware Attacks Fall by Almost Half in Q2 (Q2-Rückgang um 43 % ggü. Q1 laut NCC).
- Reuters: UK plant Ransom-Zahlungsverbote für Teile des öffentlichen Sektors (Regulatorische Gegenmaßnahmen).
- The Record: Ahold Delhaize – INC Ransom reklamiert Angriff (Hintergrund zu INC Ransom, Datenexfiltration).
- BankInfoSecurity: Ahold Delhaize-Breach betrifft 2,2 Mio. Personen (Kontext und TTPs).
- Cyble: Ransomware-Aktivität Juli 2025 (Abweichende Zählungen/Methodik, Qilin an #1).
Über den Autor
Letzte Aktualisierung am 5.02.2026 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
