Ransomware wächst durch den Einsatz von KI und Agenten

Von Brasilien über die Vereinigten Staaten, das Vereinigte Königreich bis zur Europäischen Union ging Ransomware als eine Art Parallel“ - Kriminalität in die Mitte des Jahrzehnts ”: Sie organisiert sich als Dienstleistung, lagert Schritte aus und nutzt die Abhängigkeit von Unternehmen und Regierungen von vernetzten Systemen ausDas Novum ist nicht die Verschlüsselung selbst, sondern wie sich Erpressung mit schnelleren Operationen, mit mehr gestohlenen Daten und dem zunehmenden Einsatz künstlicher Intelligenz verbindet, um Kosten zu senken und die Reichweite zu erhöhen.

Der von ENISA „der EU-Agentur für Cybersicherheit'OE veröffentlichte Threat Landscape 2025-Bericht stufte künstliche Intelligenz als eines der bestimmenden Elemente der aktuellen Bedrohungslandschaft ein. Der Bericht hebt hervor, dass KI-gestützte Phishing-Kampagnen mittlerweile einen Großteil ausmachen Anteil der im letzten Jahr beobachteten Social-Engineering-Initiativen. Die praktischen Auswirkungen sind direkt: überzeugendere Texte, Sprachanpassung an das Opferprofil, Automatisierung von Ansatztests und Reduzierung der Betriebskosten des Angriffs.

KI ersetzt den menschlichen Bediener in der Ransomware nicht vollständig, reduziert jedoch den Aufwand in Schritten, die in der Vergangenheit Zeit und manuelle Fähigkeiten erforderten. Sprachmodelle werden verwendet, um hochgradig personalisierte E-Mails zu erstellen, exfiltrierte Daten zu analysieren, um sensible Informationen mit größerem Druckpotenzial zu identifizieren und die Schwachstellenforschung zu unterstützen. Das National Cyber Security Centre, Großbritannien, hat bereits gewarnt, dass KI dazu neigt, die Effizienz, Häufigkeit und den Umfang bestehender Taktiken zu steigern, insbesondere bei der unterstützten Erkennung und Nutzung.

Die Rolle von KI-Agenten

Der sensibelste Fortschritt liegt jedoch in der Verwendung agentenbasierter Architekturen Anders als ein Nur-Text-Modell sind Agenten Systeme, die in der Lage sind, Aufgaben zu planen, Aufrufe externer Tools auszuführen, mit APIs zu interagieren und den Kontext über mehrere Schritte hinweg zu pflegen, bei Anwendung in legitimen Unternehmensumgebungen automatisieren diese Agenten interne Prozesse, integrieren Systeme und reduzieren die betriebliche Reibung Aus offensiver Sicht kann dieselbe Logik zur Koordination verteilter Aktionen verwendet werden.

An einem strukturierten Angriff kann ein Agent beteiligt sein, der sich der Sammlung öffentlicher und interner Informationen widmet, ein anderer, der sich auf die Validierung von Anmeldeinformationen und die Ausnutzung übermäßiger Berechtigungen konzentriert, und ein Dritter, der für den Betrieb von Cloud-Service-APIs verantwortlich ist, um Ressourcen, Token und Zugriffsschlüssel abzubilden. Vom ersten Einbruch an, Automatisierung beschleunigt seitliche Bewegung und Exfiltration. 

In Brasilien beschreiben CTIR-Gouverneur-Warnungen bereits seit 2022 die Reifung von Gruppen wie BlackCat/ALPHV, die mit seitlichen Bewegungstechniken und maßgeschneiderter Verschlüsselung arbeiten. Was sich jetzt ändert, ist die zusätzliche Schicht intelligenter Automatisierung, die zur wachsenden Unternehmenseinführung von Integrationen auf Basis von APIs, Servicekonten und automatisierten Flüssen hinzukommt.

Diese Konvergenz erweitert die Risikooberfläche Jede Integration fügt Anmeldeinformationen, Token und Berechtigungen hinzuJeder Unternehmensagent mit operativer Autonomie repräsentiert eine neue Maschinenidentität, Wenn kompromittiert, können diese Elemente mit scheinbarer Legitimität innerhalb der Umgebung agieren Die Untersuchung hört auf, nur “quem access” zu fragen und beginnt zu hinterfragen, “welches System eine bestimmte Aktion ausgeführt hat und unter welcher Kette von Entscheidungen”.

Aus technischer Sicht erfordert die Reaktion auf diese neuen Bedrohungen eine Überprüfung der Architektur Zero-Trust-Modelle, granulare Segmentierung und strenge Kontrolle der Maschinenidentitäten werden zu einer Priorität Privilege Management muss Service-Accounts und automatisierte Integrationen umfassen Protokolle müssen zentralisiert und vor Manipulationen geschützt werden, was eine Verhaltensanalyse auf der Grundlage von Ereignissequenzen und nicht nur isolierte Warnungen ermöglicht.

Unveränderliche Backups bleiben eine Schlüsselmaßnahme gegen Verschlüsselung, aber sie berücksichtigen nicht die Reputationsdimension von Leck-Erpressung. Kontinuierliche Exfiltrationsüberwachung und klare Richtlinien zur Reaktion auf Vorfälle sind jetzt Teil der strategischen Planung.

Die Einführung künstlicher Intelligenz in Unternehmen ist an sich nicht das Problem, im Gegenteil, sie kann die Erkennung und Reaktion verstärken, wenn sie strukturiert angewendet wird Das Risiko entsteht, wenn Agenten mit übermäßigen Berechtigungen arbeiten, Integrationen ohne angemessene Bestandsaufnahme implementiert werden und automatisierte Entscheidungen keine überprüfbare Spur haben.

Ransomware hat sich von einem technischen Angriff zu einem strukturierten Wirtschaftsmodell entwickelt. Die Integration von KI und autonomen Agenten beschleunigt diese Logik, senkt die Kosten für Kriminelle und erhöht die Komplexität für Unternehmen, die ihre Verteidigungsstrategien auf dem neuesten Stand halten müssen. Die strategische Priorität ist Es geht darum, Identitäten, APIs und Algorithmen mit der gleichen Strenge zu verwalten, die auch auf physische und finanzielle Vermögenswerte angewendet wird.

Unternehmen, die Agenten und Automatisierungen als zentralen Bestandteil der Risikoarchitektur behandeln, werden besser in der Lage sein, die nächste Welle zu bewältigen Diejenigen, die KI nur als Produktivitätsinstrument betrachten, werden möglicherweise zu spät feststellen, dass unkontrollierte Autonomie die Exposition leise, aber entscheidend verlängert.