Wenn 2024 das Jahr des großen Comebacks der Ransomware war, dann war 2025 das Jahr, in dem sie persönliche Identitäten ins Visier nahm. Cyberkriminelle drangen nicht mehr nur in Netzwerke ein, sie griffen gezielt Identitäten an. Social Engineering, Deepfakes und KI-gestützte Chattools verwandelten alltägliche Kommunikation in Angriffsvektoren. Oft reichen gestohlene Passwörter oder abgefangene Anrufe, um den Zugriff auf interne Systeme zu ermöglichen.

Mit Hilfe künstlicher Intelligenz, die Phishing, Stimmklonen und gefälschte Vorstellungsgespräche ermöglicht, hat sich Cyberkriminalität zu einem Instrument der Identitätsmanipulation entwickelt. Angreifer nutzen scheinbar legitime Zugangsdaten und umgehen damit klassische Sicherheitsmechanismen. Zwar erzielt Ransomware nicht mehr laufend neue Rekorde, doch der Markt hat sich auf hohem Niveau stabilisiert. Die Erpressungsökonomie setzt heute weniger auf Brute-Force-Verschlüsselung, sondern auf gestohlene Daten und strategischen Druck.

Laut dem jährlichen Nastiest Malware Report von OpenText haben sechs Gruppen das Jahr 2025 maßgeblich geprägt.

1. Qilin (auch bekannt als Agenda) steht hinter über 200 bestätigten Angriffen auf Krankenhäuser, Labore und kommunale Einrichtungen. In einem Fall führte der Ausfall von Diagnosediensten nachweislich zum Tod eines Patienten. Auffällig war eine Funktion im Ransomware-Control-Panel, über die Partner direkt mit einem von Qilin gestellten Verhandlungsberater chatten konnten. Ziel war es, Erpressungen zu standardisieren und auch unerfahrenen Tätern professionelle Unterstützung zu bieten. Diese Form der Professionalisierung setzt einen neuen Maßstab für Ransomware-as-a-Service und zeigt, wie stark sich die kriminelle Infrastruktur im digitalen Untergrund weiterentwickelt hat.
2. Akira konzentrierte sich auf zahlungskräftige Unternehmen und Managed Service Provider und war für fast jeden fünften dokumentierten Ransomware-Vorfall weltweit verantwortlich. Die Gruppe agiert mit technischer Präzision und klaren Abläufen, inklusive Supportstrukturen und kontrollierten Verhandlungen. Rabattaktionen und feste Regeln sollen Verlässlichkeit signalisieren – ein Vorgehen, das eher an Unternehmensprozesse als an Cyberkriminalität erinnert. Akira nutzt gezielt VPN-Schwachstellen, agiert international und hat sich zu einer professionellen Ransomware-as-a-Service-Plattform entwickelt.
3. Scattered Spider zählt 2025 zu den einflussreichsten Gruppen. Mit Social Engineering, SIM-Swapping und Deepfake-Stimmenimitationen kompromittierten sie Großunternehmen und umgingen selbst moderne Identitäts- und Zugriffssysteme.
   Im September zerschlugen koordinierte Festnahmen das Kernteam, doch Nachahmer und Abspaltungen setzen die Methoden fort. Die Kombination aus technischer Raffinesse, psychologischer Manipulation und gezieltem Identitätsmissbrauch machte die Gruppe zu einem zentralen Akteur im Bereich Zugangsbeschaffung.
4. Play Ransomware war trotz geringer medialer Aufmerksamkeit eine der zerstörerischsten Gruppen. Über Angriffe auf mehr als 900 Managed Service Provider kompromittierte sie ganze Kundenumgebungen. Charakteristisch ist der Einsatz intermittierender Verschlüsselung, bei der nur Teile von Dateien betroffen sind. Das beschleunigt die Ausführung und erschwert die Erkennung. Zusätzlich nutzt die Gruppe maßgeschneiderte Binärdateien und erweiterte ihr Toolkit um Module für virtualisierte Umgebungen wie Linux und ESXi. Die gezielte Ausnutzung von IT-Abhängigkeiten machte Play zu einem der gefährlichsten Akteure des Jahres.
5. ShinyHunters zählt 2025 zu den gefährlichsten Akteuren. Die Gruppe infiltriert Cloud-Plattformen, bleibt oft monatelang unentdeckt und veröffentlicht gestohlene Daten erst, wenn sie sich verwerten lassen. Betroffen waren globale Marken wie Google, Salesforce und Kering. Ein zentrales Merkmal ist die gezielte Ausnutzung regulatorischer Pflichten. In Europa legte ShinyHunters den Zeitpunkt der Veröffentlichung häufig so, dass er mit offiziellen DSGVO-Meldungen zusammenfiel. Dadurch wurden Reputationsschäden und Compliance-Risiken zum Bestandteil der Erpressung. Die Angriffe zeigen, wie eng Cyberkriminalität und Regulierung inzwischen verbunden sind.
6. Lumma Stealer gilt als Rückgrat vieler moderner Ransomware-Operationen. Die Malware sammelt massenhaft Zugangsdaten, Cookies und Tokens aus infizierten Systemen. Diese Daten zirkulieren schnell auf Darknet-Marktplätzen und dienen Gruppen wie Akira, Qilin und Play als Einstiegspunkt für gezielte Angriffe.

Besonders wirksam ist die Kombination mit Social-Engineering-Kampagnen, etwa über gefälschte CAPTCHA-Meldungen oder Fehlermeldungen, die Benutzer zur Ausführung bösartiger Befehle verleiten. Diese hybride Methode unterläuft viele klassische Schutzmechanismen. Lumma zeigt, dass selbst gut gesicherte Umgebungen anfällig werden können, wenn ein einziges kompromittiertes Konto in die Sammelroutine gerät.

Worauf es jetzt ankommt

Trotz verbesserter Schutzmaßnahmen und einer wachsenden Anzahl von Organisationen, die Zahlungen verweigern, bleibt die Ransomware-Szene äußerst lukrativ. Zwar haben sich Lösegeldforderungen und -zahlungen nach einem Anstieg zu Jahresbeginn auf hohem Niveau eingependelt, doch die finanziellen Gesamtschäden steigen weiter. Während manche Gruppen Schwierigkeiten haben, ihre Forderungen durchzusetzen, verhandeln gut organisierte Akteure weiterhin mit erschreckender Präzision Vergleiche in Millionenhöhe.

Diese Entwicklung unterstreicht, wie stark sich Ransomware als Geschäftsmodell professionalisiert hat und wie wichtig es ist, auch auf Verteidigungsseite strukturiert zu handeln. Viele effektive Maßnahmen sind bekannt: regelmäßige Patches, glaubwürdige Backup-Strategien, robuste Zugangskontrollen, gehärtete Fernzugänge und gezielte Sensibilisierung für Social Engineering. Wer diese Grundlagen in der Praxis fest verankert, verbessert nicht nur die eigene Reaktionsfähigkeit, sondern reduziert die Angriffsfläche nachhaltig.

Weitere Einblicke zu den genannten Gruppen und ihre Vorgehensweise, zur Bedrohungslage 2025 und zu wirksamen Schutzmaßnahmen liefert der vollständige Nastiest Malware Report von OpenText.