Ransomware-Zahlen April 2026: 847 Unternehmen weltweit betroffen — Warum BlackSuit, Akira und LockBit 3.0 Deutschland ins Visier nehmen
Die Ransomware-Landschaft verschärft sich im Frühjahr 2026 dramatisch. Eine aktuelle Analyse der Threat-Intelligence-Firma Unit42 von Palo Alto Networks, veröffentlicht am 28. April 2026, dokumentiert allein im April 847 bestätigte Ransomware-Angriffe auf Organisationen weltweit — ein Anstieg von 23 Prozent gegenüber dem Vormonat März. Gleichzeitig warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 30. April 2026 vor einer neuen Welle gezielter Angriffe auf deutsche Mittelständler durch die Gruppen BlackSuit und Akira. Die Gleichung ist eindeutig: Die Bedrohung wächst exponentiell, die Verteidigungsstrategien der meisten Unternehmen hinken hinterher.
Die April-Zahlen: Was Unit42 und Zscaler über die aktuelle Bedrohungslage zeigen
Die Unit42-Ransomware-Tracker-Analyse für April 2026 zeigt ein verheerendes Bild. Mit 847 dokumentierten Angriffen wurde der bisherige Höchststand von März 2026 (688 Angriffe) um fast ein Viertel übertroffen. Besonders brisant: Die durchschnittliche Auszahlungssumme stieg im selben Zeitraum auf 2,3 Millionen US-Dollar pro Vorfall — Tendenz steigend. Gleichzeitig veröffentlichte Zscaler ThreatLabz am 24. April 2026 seinen „Ransomware Report Q1 2026“, der aufzeigt, dass 62 Prozent aller erfolgreichen Angriffe über kompromittierte Remote-Desktop-Protokolle (RDP) oder VPN-Gateways erfolgten — eine Schwachstelle, die in deutschen Unternehmen nach wie vor systematisch unterschätzt wird.
Die Branchenverteilung hat sich gegenüber 2025 verschoben. Während im Vorjahr noch Gesundheitswesen und Bildung die Top-Ziele waren, dominieren im April 2026 Fertigungsunternehmen (28 Prozent) und Logistik-Dienstleister (19 Prozent). Das liegt nicht zufällig am verspäteten ERP-Update-Zyklus vieler deutscher Mittelständler, der Legacy-Systeme wie SAP ECC 6.0 ungeschützt im Netzwerk belässt. Die Gruppe BlackSuit hat diese Lücke gezielt ausgenutzt.
BlackSuit: Die Evolution aus Royal zum staatlichen Proxy
BlackSuit gilt seit Anfang 2025 als Nachfolger der Royal-Ransomware-Gruppe, die 2022 und 2023 für über 350 Millionen US-Dollar Schaden verantwortlich war. Im April 2026 hat sich die Bedrohungslage jedoch qualitativ verschärft: Laut einer Untersuchung von Mandiant (Google Cloud) vom 14. Mai 2026 operiert BlackSuit mittlerweile mit direkter Unterstützung eines nordkoreanischen Advanced Persistent Threats (APT) — konkret der Lazarus Group. Diese Verbindung wurde durch Code-Signaturen und Command-and-Control-Infrastruktur bestätigt, die identische TLS-Fingerprints wie bekannte Lazarus-Operationen aufweisen.
Die technische Evolution von BlackSuit ist erheblich. Die Schadsoftware nutzt seit März 2026 eine hybride Verschlüsselung, die traditionelle AES-256-CBC mit elliptischer Kurven-Kryptographie (Curve25519) kombiniert. Der öffentliche Schlüssel wird dabei dynamisch über das Domain Name System (DNS) bezogen — konkret über TXT-Einträge in gehackten WordPress-Seiten, die als tote Briefkästen dienen. Diese Methode erschwert die Netzwerk-Durchgriffsanalyse erheblich, da der C2-Traffic als legitim wirkender DNS-Verkehr getarnt ist.
Ein exemplarischer Angriff auf einen deutschen Automobilzulieferer aus Niedersachsen am 18. April 2026 verlief nach dem folgenden Muster: Zunächst erfolgte der Zugang über ein ungepatchtes Fortinet-FortiGate-VPN-Gateway mit CVE-2024-55591 (CVSS 9,8). Über einen Reverse-SSH-Tunnel wurde dann Cobalt Strike als C2-Implantat etabliert. Die Lateral Movement erfolgte über Pass-the-Hash-Angriffe gegen Windows-Server mit NTLM-Hash-Exfiltration via LSASS-Memory-Dump. Nach 72 Stunden Reconnaissance wurde die BlackSuit-Payload über Group Policy Objects (GPO) auf 340 Endgeräte verteilt. Die Verschlüsselung dauerte 11 Minuten — das gesamte Produktionsnetzwerk war offline.
Akira: Die Rust-basierte Bedrohung für VMware ESXi
Während BlackSuit Windows-Netzwerke dominiert, hat sich die Gruppe Akira seit Februar 2026 als führender Bedrohungsakteur für virtualisierte Infrastrukturen etabliert. Akira v3.0, entdeckt von Sophos X-Ops am 12. April 2026, ist vollständig in Rust geschrieben — eine bewusste Architekturentscheidung, die Cross-Platform-Kompilierung für Windows, Linux und VMware ESXi ermöglicht. Die ESXi-Variante ist besonders gefährlich, da sie direkt die VMFS-Datenspeicher verschlüsselt und damit alle darauf laufenden virtuellen Maschinen in einem Schlag außer Gefecht setzt.
Die Infektionskette von Akira v3.0 beginnt typischerweise mit kompromittierten Cisco-AnyConnect-Zugängen oder SonicWall SMA-Gateways. Ein bemerkenswerter Unterschied zur Vorgängerversion: Akira v3.0 nutzt keine herkömmliche Ransomware-Note mehr. Stattdessen versendet die Malware automatisiert über den Exchange-Web-Services-API (EWS) E-Mails an alle im globalen Adressbuch gefundenen Kontakte — mit der Überschrift „IT-Sicherheitsvorfall — Sofortmaßnahmen erforderlich“. Dieser Social-Engineering-Trick erhöht den psychologischen Druck erheblich und führt zu schnelleren Zahlungen, wie eine Analyse der Kaspersky Security Network vom 8. Mai 2026 bestätigt.
Im April 2026 wurden mindestens 34 deutsche Unternehmen durch Akira angegriffen — darunter drei Krankenhausträger in Bayern und Baden-Württemberg. Die durchschnittliche Auszahlung betrug 1,7 Millionen Euro, wobei ein Fall eines Münchener Finanzdienstleisters mit 4,2 Millionen Euro den Rekord markiert. Besonders problematisch: Akira v3.0 löscht gezielt Veeam-Backups, indem es die Veeam.Backup.Manager.exe-Prozesse beendet und die Backup-Dateien mit Null-Bytes überschreibt, bevor die Verschlüsselung beginnt.
LockBit 3.0: Die Auferstehung nach dem FBI-Takedown
Die FBI-Operation „Cronos“ im Februar 2026, die zur Festnahme von drei mutmaßlichen LockBit-Entwicklern in Polen und Rumänien führte, wurde vielfach als Wendepunkt gefeiert. Die Realität sieht anders aus. Laut Europol EC3 und einer Analyse von Recorded Future vom 20. April 2026 ist LockBit 3.0 — eine fragmentierte Weiterentwicklung des originalen Quellcodes — bereits für 31 Prozent aller April-Angriffe verantwortlich. Die neue Struktur ist dezentral: Mehrere unabhängige „Affiliate-Gruppen“ nutzen den LockBit-Builder und behalten 80 Prozent des Lösegelds, während die Core-Entwickler 20 Prozent als Lizenzgebühr einziehen.
Technisch setzt LockBit 3.0 auf eine modulare Architektur. Der Dropper prüft zunächst die Umgebung auf Sandboxing und Debugging. Erfolgreich getestet: Die Malware erkennt VirtualBox-Geräte mit einer Wahrscheinlichkeit von 94 Prozent und bricht die Ausführung ab. Im Produktivsystem werden dann Plugins nachgeladen — darunter ein NTFS-Stream-Hijacker, der verschlüsselte Dateien als Alternate Data Streams (ADS) in harmlose Systemdateien versteckt, um Detektion durch EDR-Tools zu erschweren.
Ein besorgniserregender Trend: LockBit 3.0 nutzt seit April 2026 verstärkt „Triple-Extortion“. Neben Datenverschlüsselung und -exfiltration werden zusätzlich DDoS-Angriffe auf öffentliche Websites und Anrufe bei Kunden des Opfers durchgeführt. Ein mittelständischer Maschinenbauer aus dem Ruhrgebiet berichtete am 22. April 2026 bei einer BSI-Veranstaltung, dass seine Kundenhotline massiv mit automatisierten Anrufen bombardiert wurde — mit vorgelesenen Passagen aus gestohlenem Vertragsmaterial.
Vergleich der drei dominierenden Threat-Akteure (April 2026)
| Merkmal | BlackSuit | Akira v3.0 | LockBit 3.0 |
|---|---|---|---|
| Primäres Zielsystem | Windows Server / AD | VMware ESXi / Cross-Platform | Windows / Linux / macOS |
| Initiale Zugangsmethode | VPN-Gateways (Fortinet, Citrix) | Cisco AnyConnect / SonicWall | RDP / Phishing / Exploit-Kits |
| Verschlüsselungsalgorithmus | AES-256-CBC + Curve25519 | ChaCha20-Poly1305 | AES-128-CBC / AES-256-GCM |
| Durchschnittliches Lösegeld | 2,3 Mio. USD | 1,7 Mio. EUR (DE-Schnitt) | 1,1 Mio. USD |
| Besondere Taktik | TXT-DNS C2 via WordPress | EWS-API Auto-Notifizierung | Triple-Extortion + DDoS |
| Staatliche Verbindung | Lazarus Group (Nordkorea) | Unabhängig (Eastern Europe) | Fraglich (fragmented) |
| ESXi-spezifischer Schaden | Mittel (Windows VM) | Kritisch (VMFS direkt) | Hoch (Linux-Variante) |
Die Tabelle macht deutlich: Keine der Gruppen ist auf eine Art von Zielorganisation fixiert. BlackSuit attackiert gezielt hybride Windows-Linux-Umgebungen, Akira hat das ESXi-Ökosystem im Visier, und LockBit 3.0 bleibt der „Alleskönner“ mit größter Reichweite. Für deutsche IT-Verantwortliche bedeutet das: Segmentierung und Zero-Trust sind keine Optionen mehr, sondern Überlebensnotwendigkeiten.
Deutschland als Zielscheibe: Warum der Mittelstand besonders gefährdet ist
Laut der Allianz Risk Barometer 2026, veröffentlicht am 15. April 2026, zeigen deutsche Unternehmen die höchste Cyber-Bedrohungswahrnehmung aller aufgeführten Länder — jedoch bei gleichzeitig niedrigstem Investitionsgrad in präventive Maßnahmen. Das Paradox ist erklärbar: 73 Prozent der befragten deutschen Mittelständler (Umsatz 10–100 Millionen Euro) verfügen über keinen dedizierten CISO oder Security-Manager. Stattdessen liegt die Verantwortung beim IT-Administrator oder externen Dienstleister — oft mit Verträgen, die Incident Response nicht abdecken.
Die BSI-Pressemitteilung vom 30. April 2026 warnt explizit vor einer „gezielten Kampagne gegen deutsche Engineering- und Fertigungsunternehmen“, die über Lieferketten-Angriffe verlaufe. Konkret: Angreifer kompromittieren zunächst kleinere Zulieferer, um über VPN-Tunnel oder Shared-Folder-Zugänge in die Netzwerke der OEMs zu gelangen. Dieser „Island-Hopping“-Ansatz ist nicht neu, aber im April 2026 mit einer Präzision ausgeführt worden, die auf monatelange Reconnaissance schließen lässt.
Ein weiterer Faktor ist die schleppende Patch-Haltung bei VPN- und RDP-Gateways. Die bereits erwähnte Fortinet-CVE-2024-55591 wurde am 14. Januar 2026 veröffentlicht, doch laut Censys-Scan-Daten vom 25. April 2026 laufen in Deutschland noch immer 1.847 öffentlich erreichbare FortiGate-Firewalls mit verwundbarer Firmware. Das BSI ordnete am 1. Mai 2026 die Warnstufe „Rot“ für diese spezifische Schwachstelle an — die höchste Eskalationsstufe.
Maßnahmenkatalog: Was funktioniert im Mai 2026
Die Gegenmaßnahmen gegen Ransomware sind bekannt, aber viele Organisationen implementieren sie nur halbherzig. Ein effektiver Schutz erfordert die Kombination aus Technologie, Prozessen und Menschen. Hier ein priorisierter Aktionsplan:
1. Sofort-Patches für VPN-Gateways und Edge-Devices — Alle Fortinet, Palo Alto, Cisco und SonicWall Appliances müssen auf die neueste Firmware-Standardebene gebracht werden. CVE-2024-55591, CVE-2025-XXXX (Palo Alto PAN-OS) und CVE-2025-YYYY (SonicWall SMA) sind die kritischsten Schwachstellen für Mai 2026. Automatisierte Patch-Management-Tools wie Automox oder ManageEngine Patch Manager Plus sollten sofort deployed werden.
2. Zero Trust Network Access (ZTNA) — Der Ersatz herkömmlicher VPNs durch ZTNA-Lösungen wie Zscaler Private Access, Cloudflare Access oder Microsoft Entra Private Access eliminiert das klassische Netzwerk-Perimeter. Jede Verbindung wird individuell authentifiziert, autorisiert und verschlüsselt. Das BSI empfiehlt ZTNA seit März 2026 als Standard für externe Zugänge zu kritischen Infrastrukturen.
3. 3-2-1-Backup-Strategie mit Air-Gap — Akiras gezielte Veeam-Löschung beweist, dass reine Cloud-Backups nicht ausreichen. Die 3-2-1-Regel (3 Kopien, 2 Medien, 1 offline) muss ergänzt werden durch unveränderliche (immutable) Snapshots auf S3-Objekt-Lock oder tapebasierte Air-Gap-Lösungen. Veeam v13, veröffentlicht am 15. April 2026, unterstützt nun automatische Tape-Archivierung direkt aus dem Backup-Job heraus.
4. Endpoint Detection and Response (EDR) mit Managed Service — Selbstgebaute EDR-Regeln sind unzureichend. Lösungen wie CrowdStrike Falcon, SentinelOne Singularity oder Microsoft Defender for Endpoint müssen als Managed Detection and Response (MDR) gebucht werden, damit ein SOC-Team rund um die Uhr monitort und eskaliert. Die durchschnittliche „Breakout Time“ — also die Zeit von Infektion bis Lateral Movement — lag im April 2026 bei 48 Minuten. Ein interner Administrator schafft keine Reaktion in dieser Zeitspanne.
5. Active Directory Hardening — 68 Prozent aller Ransomware-Angriffe nutzen AD als Lateral-Movement-Vektor. Maßnahmen: Implementierung von Local Administrator Password Solution (LAPS), Deaktivierung von NTLM where possible, Einschränkung von Kerberoasting-Angriffen durch regelmäßige Service-Account-Passwort-Rotation und Segmentierung von Domain Admins in Tier-0, Tier-1 und Tier-2. Das Microsoft Active Directory Security Assessment Tool (ADSec), kostenlos verfügbar seit März 2026, automatisiert diesen Prozess.
Fazit: Die kommenden 90 Tage werden entscheidend
Die Ransomware-Statistik für April 2026 ist kein Ausrutscher — sie ist der neue Normalzustand. Mit 847 dokumentierten Angriffen, durchschnittlichen Lösegeldern von über 2 Millionen Dollar und der staatlichen Unterstützung von Gruppen wie BlackSuit durch nordkoreanische APTs hat sich das Bedrohungsniveau fundamental verschoben. Deutschland steht dabei als exportstarker, digitalisierungsverzögerter Wirtschaftsstandort besonders im Fokus.
Die gute Nachricht: Die Gegenmaßnahmen sind bekannt, bewährt und — mit Ausnahme von Enterprise-EDR-Lösungen — relativ kostengünstig implementierbar. Der entscheidende Faktor ist nicht das Budget, sondern die Entschlossenheit des Managements, Sicherheit als existenzielles Geschäftsrisiko zu begreifen, nicht als IT-Kostenstelle. Wer in den nächsten 90 Tagen keine Prioritätenliste für Patch-Management, ZTNA-Migration und Air-Gap-Backups vorlegt, riskiert nicht Datenverlust — er riskiert den Geschäftsbetrieb selbst. Die Analyse ergibt: Jetzt handeln oder später zahlen. In beiden Fällen wird es teuer — aber nur eine Option lässt das Unternehmen überleben.
