Nastiest Malware Report 2025

Das sind die gefährlichsten Ransomware-Gruppen des Jahres

Wenn 2024 das Jahr des großen Comebacks der Ransomware war, dann war 2025 das Jahr, in dem sie persönliche Identitäten ins Visier nahm. Cyberkriminelle drangen nicht mehr nur in Netzwerke ein, sie griffen gezielt Identitäten an.

Redaktion Produktion Redaktion Produktion

Veröffentlicht 20. November 2025 - 15:39

Mit Hilfe Künstlicher Intelligenz, die Phishing, Stimmklonen und gefälschte Vorstellungsgespräche ermöglicht, hat sich Cyberkriminalität zu einem Instrument der Identitätsmanipulation entwickelt.

Fay Melronna - stock.adobe.com)

Social Engineering, Deepfakes und KI-gestützte Chattools verwandelten alltägliche Kommunikation in Angriffsvektoren. Oft reichen gestohlene Passwörter oder abgefangene Anrufe, um den Zugriff auf interne Systeme zu ermöglichen. Angreifer nutzen scheinbar legitime Zugangsdaten und umgehen damit klassische Sicherheitsmechanismen. Zwar erzielt Ransomware nicht mehr laufend neue Rekorde, doch der Markt hat sich auf hohem Niveau stabilisiert. Die Erpressungsökonomie setzt heute weniger auf Brute-Force-Verschlüsselung, sondern auf gestohlene Daten und strategischen Druck.

Diese sechs Ransomware-Gruppen prägen maßgeblich 2025

Laut dem jährlichen Nastiest Malware Report von OpenText haben sechs Gruppen das Jahr 2025 maßgeblich geprägt:

Qilin (auch bekannt als Agenda) steht hinter über 200 bestätigten Angriffen auf Krankenhäuser, Labore und kommunale Einrichtungen. In einem Fall führte der Ausfall von Diagnosediensten nachweislich zum Tod eines Patienten. Auffällig war eine Funktion im Ransomware-Control-Panel, über die Partner direkt mit einem von Qilin gestellten Verhandlungsberater chatten konnten. Ziel war es, Erpressungen zu standardisieren und auch unerfahrenen Tätern professionelle Unterstützung zu bieten. Diese Form der Professionalisierung setzt einen neuen Maßstab für Ransomware-as-a-Service und zeigt, wie stark sich die kriminelle Infrastruktur im digitalen Untergrund weiterentwickelt hat.

Akira konzentrierte sich auf zahlungskräftige Unternehmen und Managed Service Provider und war für fast jeden fünften dokumentierten Ransomware-Vorfall weltweit verantwortlich. Die Gruppe agiert mit technischer Präzision und klaren Abläufen, inklusive Supportstrukturen und kontrollierten Verhandlungen. Rabattaktionen und feste Regeln sollen Verlässlichkeit signalisieren – ein Vorgehen, das eher an Unternehmensprozesse als an Cyberkriminalität erinnert. Akira nutzt gezielt VPN-Schwachstellen, agiert international und hat sich zu einer professionellen Ransomware-as-a-Service-Plattform entwickelt.

Scattered Spider zählt 2025 zu den einflussreichsten Gruppen. Mit Social Engineering, SIM-Swapping und Deepfake-Stimmenimitationen kompromittierten sie Großunternehmen und umgingen selbst moderne Identitäts- und Zugriffssysteme. Im September zerschlugen koordinierte Festnahmen das Kernteam, doch Nachahmer und Abspaltungen setzen die Methoden fort. Die Kombination aus technischer Raffinesse, psychologischer Manipulation und gezieltem Identitätsmissbrauch machte die Gruppe zu einem zentralen Akteur im Bereich Zugangsbeschaffung.

Ransomware-Angriff: Unter den Opfern sind auch deutsche Firmen

Ein großer Cyberangriff macht sich eine Sicherheitslücke zu Nutze, die eigentlich schon Anfang 2021 geschlossen wurde. Betroffen sind unter anderem Firmen aus Deutschland und den USA. Was zu dem aktuellen Ransomware-Angriff bisher bekannt ist.

Play Ransomware war trotz geringer medialer Aufmerksamkeit eine der zerstörerischsten Gruppen. Über Angriffe auf mehr als 900 Managed Service Provider kompromittierte sie ganze Kundenumgebungen. Charakteristisch ist der Einsatz intermittierender Verschlüsselung, bei der nur Teile von Dateien betroffen sind. Das beschleunigt die Ausführung und erschwert die Erkennung. Zusätzlich nutzt die Gruppe maßgeschneiderte Binärdateien und erweiterte ihr Toolkit um Module für virtualisierte Umgebungen wie Linux und ESXi. Die gezielte Ausnutzung von IT-Abhängigkeiten machte Play zu einem der gefährlichsten Akteure des Jahres.

ShinyHunters zählt 2025 zu den gefährlichsten Akteuren. Die Gruppe infiltriert Cloud-Plattformen, bleibt oft monatelang unentdeckt und veröffentlicht gestohlene Daten erst, wenn sie sich verwerten lassen. Betroffen waren globale Marken wie Google, Salesforce und Kering. Ein zentrales Merkmal ist die gezielte Ausnutzung regulatorischer Pflichten. In Europa legte ShinyHunters den Zeitpunkt der Veröffentlichung häufig so, dass er mit offiziellen DSGVO-Meldungen zusammenfiel. Dadurch wurden Reputationsschäden und Compliancerisiken zum Bestandteil der Erpressung. Die Angriffe zeigen, wie eng Cyberkriminalität und Regulierung inzwischen verbunden sind.

Lumma Stealer gilt als Rückgrat vieler moderner Ransomware-Operationen. Die Malware sammelt massenhaft Zugangsdaten, Cookies und Tokens aus infizierten Systemen. Diese Daten zirkulieren schnell auf Darknet-Marktplätzen und dienen Gruppen wie Akira, Qilin und Play als Einstiegspunkt für gezielte Angriffe. Besonders wirksam ist die Kombination mit Social-Engineering-Kampagnen, etwa über gefälschte CAPTCHA-Meldungen oder Fehlermeldungen, die Benutzer zur Ausführung bösartiger Befehle verleiten. Diese hybride Methode unterläuft viele klassische Schutzmechanismen. Lumma zeigt, dass selbst gut gesicherte Umgebungen anfällig werden können, wenn ein einziges kompromittiertes Konto in die Sammelroutine gerät.

Die finanziellen Gesamtschäden steigen weiter

Trotz verbesserter Schutzmaßnahmen und einer wachsenden Anzahl von Organisationen, die Zahlungen verweigern, bleibt die Ransomware-Szene äußerst lukrativ. Zwar haben sich Lösegeldforderungen und -zahlungen nach einem Anstieg zu Jahresbeginn auf hohem Niveau eingependelt, doch die finanziellen Gesamtschäden steigen weiter. Während manche Gruppen Schwierigkeiten haben, ihre Forderungen durchzusetzen, verhandeln gut organisierte Akteure weiterhin mit erschreckender Präzision Vergleiche in Millionenhöhe.

Die Schadsoftware Fuxnet im Dragos "Year in Review 2025"

Im "Year in Review 2025" untersucht Dragos die Entwicklung von Malware, die gezielt auf industrielle Steuerungssysteme (ICS) abzielt. Im Mittelpunkt stehen dabei die Erkenntnisse aus bekannten Vorfällen des vergangenen Jahres. Ein Beispiel ist die im Jahr 2024 von der Hacktivistengruppe BlackJack veröffentlichte Schadsoftware Fuxnet.

Ransomware hat sich als Geschäftsmodell professionalisiert

Diese Entwicklung unterstreicht, wie stark sich Ransomware als Geschäftsmodell professionalisiert hat und wie wichtig es ist, auch auf Verteidigungsseite strukturiert zu handeln. Viele effektive Maßnahmen sind bekannt: regelmäßige Patches, glaubwürdige Backup-Strategien, robuste Zugangskontrollen, gehärtete Fernzugänge und gezielte Sensibilisierung für Social Engineering. Wer diese Grundlagen in der Praxis fest verankert, verbessert nicht nur die eigene Reaktionsfähigkeit, sondern reduziert die Angriffsfläche nachhaltig. OpenText ist ein führendes Cloud- und KI-Unternehmen, das Organisationen weltweit eine umfassende Plattform für Business-AI, Business-Clouds und Business- Technology anbietet. OpenText hilft Unternehmen, zu wachsen, Innovationen umzusetzen und effizienter zu arbeiten. All das geschieht auf eine verlässliche und sichere Weise durch Informationsmanagement.

Quelle: OpenText

FAQs zum Nastiest Malware Report 2025

1. Warum galt 2025 als das Jahr des Identitätsangriffs?

2025 richteten Cyberkriminelle ihren Fokus zunehmend auf persönliche Identitäten anstatt allein auf Netzwerke. Mithilfe von Social Engineering, Deepfakes und KI-basierten Chattools wurden alltägliche Kommunikationskanäle zu Einfallstoren für Angriffe. Schon gestohlene Passwörter oder abgefangene Anrufe reichten häufig aus, um Zugriff auf interne Systeme zu erlangen.

2. Welche Rolle spielt Künstliche Intelligenz bei moderner Cyberkriminalität?

KI ermöglicht neue Formen der Identitätsmanipulation, etwa durch präzise Phishing-Angriffe, Stimmklonen oder gefälschte Vorstellungsgespräche. Angreifer können dadurch glaubwürdiger auftreten, legitime Zugangsdaten imitieren und klassische Sicherheitsmechanismen umgehen.

3. Welche Ransomware-Gruppen prägten das Jahr 2025 besonders?

Laut OpenText dominierten sechs Gruppen die Szene: Qilin/Agenda, Akira, Scattered Spider, Play, ShinyHunters und Lumma Stealer. Sie unterscheiden sich in ihren Methoden, gemeinsam ist ihnen jedoch ein hohes Maß an Professionalität und technischer Raffinesse.

4. Warum gilt Qilin als besonders gefährlich?

Qilin führte über 200 Angriffe auf kritische Infrastrukturen wie Krankenhäuser und kommunale Einrichtungen durch. Die Gruppe professionalisierte Erpressungen mit einem eigenen Verhandlungs-Chat für Partner und setzte dadurch neue Standards im Ransomware-as-a-Service-Modell.

5. Wodurch zeichnen sich Akira und Scattered Spider aus?

Akira agiert wie ein Unternehmen: mit klaren Prozessen, internationaler Ausrichtung und gezielter Ausnutzung von VPN-Schwachstellen. Scattered Spider ist besonders geschickt im Identitätsmissbrauch – mit SIM-Swapping, Social Engineering und Deepfake-Stimmen, die selbst moderne Zugriffssysteme umgehen.

6. Wie nutzen Play, ShinyHunters und Lumma Stealer ihre Angriffsvektoren?

Play kompromittiert über Managed Service Provider ganze Kundenlandschaften und setzt auf intermittierende Verschlüsselung. ShinyHunters infiltriert Cloud-Plattformen und nutzt regulatorische Meldepflichten strategisch aus. Lumma Stealer liefert massenhaft gestohlene Zugangsdaten, die als Grundlage vieler Ransomware-Angriffe dienen.

7. Welche Schutzmaßnahmen sind 2025 besonders wichtig?

Organisationen sollten auf regelmäßige Patches, robuste Backup-Strategien, starke Zugangskontrollen, gehärtete Fernzugänge und aktive Schulungen gegen Social Engineering setzen. Strukturierte Abwehrmaßnahmen verbessern nicht nur die Reaktionsfähigkeit, sondern reduzieren langfristig die Angriffsfläche.