{"id":1837,"date":"2025-11-10T14:17:04","date_gmt":"2025-11-10T13:17:04","guid":{"rendered":"https:\/\/www.lan-wan-telecom.de\/?p=1837"},"modified":"2025-11-10T14:17:04","modified_gmt":"2025-11-10T13:17:04","slug":"nastiest-malware-2025-wer-sind-die-gefaehrlichsten-gruppen-des-jahres","status":"publish","type":"post","link":"https:\/\/www.lan-wan-telecom.de\/index.php\/2025\/11\/10\/nastiest-malware-2025-wer-sind-die-gefaehrlichsten-gruppen-des-jahres\/","title":{"rendered":"Nastiest Malware 2025: Wer sind die gef\u00e4hrlichsten Gruppen des Jahres?"},"content":{"rendered":"

Wenn 2024 das Jahr des gro\u00dfen Comebacks der Ransomware war, dann war 2025 das Jahr, in dem sie pers\u00f6nliche Identit\u00e4ten ins Visier nahm. Cyberkriminelle drangen nicht mehr nur in Netzwerke ein, sie griffen gezielt Identit\u00e4ten an. Social Engineering, Deepfakes und KI-gest\u00fctzte Chattools verwandelten allt\u00e4gliche Kommunikation in Angriffsvektoren. Oft reichen gestohlene Passw\u00f6rter oder abgefangene Anrufe, um den Zugriff auf interne Systeme zu erm\u00f6glichen.<\/p>\n

Mit Hilfe k\u00fcnstlicher Intelligenz, die Phishing, Stimmklonen und gef\u00e4lschte Vorstellungsgespr\u00e4che erm\u00f6glicht, hat sich Cyberkriminalit\u00e4t zu einem Instrument der Identit\u00e4tsmanipulation entwickelt. Angreifer nutzen scheinbar legitime Zugangsdaten und umgehen damit klassische Sicherheitsmechanismen. Zwar erzielt Ransomware nicht mehr laufend neue Rekorde, doch der Markt hat sich auf hohem Niveau stabilisiert. Die Erpressungs\u00f6konomie setzt heute weniger auf Brute-Force-Verschl\u00fcsselung, sondern auf gestohlene Daten und strategischen Druck.<\/p>\n

Laut dem j\u00e4hrlichen Nastiest Malware Report von OpenText haben sechs Gruppen das Jahr 2025 ma\u00dfgeblich gepr\u00e4gt.<\/p>\n

    \n
  1. Qilin (auch bekannt als Agenda) steht hinter \u00fcber 200 best\u00e4tigten Angriffen auf Krankenh\u00e4user, Labore und kommunale Einrichtungen. In einem Fall f\u00fchrte der Ausfall von Diagnosediensten nachweislich zum Tod eines Patienten. Auff\u00e4llig war eine Funktion im Ransomware-Control-Panel, \u00fcber die Partner direkt mit einem von Qilin gestellten Verhandlungsberater chatten konnten. Ziel war es, Erpressungen zu standardisieren und auch unerfahrenen T\u00e4tern professionelle Unterst\u00fctzung zu bieten. Diese Form der Professionalisierung setzt einen neuen Ma\u00dfstab f\u00fcr Ransomware-as-a-Service und zeigt, wie stark sich die kriminelle Infrastruktur im digitalen Untergrund weiterentwickelt hat.<\/li>\n
  2. Akira konzentrierte sich auf zahlungskr\u00e4ftige Unternehmen und Managed Service Provider und war f\u00fcr fast jeden f\u00fcnften dokumentierten Ransomware-Vorfall weltweit verantwortlich. Die Gruppe agiert mit technischer Pr\u00e4zision und klaren Abl\u00e4ufen, inklusive Supportstrukturen und kontrollierten Verhandlungen. Rabattaktionen und feste Regeln sollen Verl\u00e4sslichkeit signalisieren \u2013 ein Vorgehen, das eher an Unternehmensprozesse als an Cyberkriminalit\u00e4t erinnert. Akira nutzt gezielt VPN-Schwachstellen, agiert international und hat sich zu einer professionellen Ransomware-as-a-Service-Plattform entwickelt.<\/li>\n
  3. Scattered Spider z\u00e4hlt 2025 zu den einflussreichsten Gruppen. Mit Social Engineering, SIM-Swapping und Deepfake-Stimmenimitationen kompromittierten sie Gro\u00dfunternehmen und umgingen selbst moderne Identit\u00e4ts- und Zugriffssysteme.
    \nIm September zerschlugen koordinierte Festnahmen das Kernteam, doch Nachahmer und Abspaltungen setzen die Methoden fort. Die Kombination aus technischer Raffinesse, psychologischer Manipulation und gezieltem Identit\u00e4tsmissbrauch machte die Gruppe zu einem zentralen Akteur im Bereich Zugangsbeschaffung.<\/li>\n
  4. Play Ransomware war trotz geringer medialer Aufmerksamkeit eine der zerst\u00f6rerischsten Gruppen. \u00dcber Angriffe auf mehr als 900 Managed Service Provider kompromittierte sie ganze Kundenumgebungen. Charakteristisch ist der Einsatz intermittierender Verschl\u00fcsselung, bei der nur Teile von Dateien betroffen sind. Das beschleunigt die Ausf\u00fchrung und erschwert die Erkennung. Zus\u00e4tzlich nutzt die Gruppe ma\u00dfgeschneiderte Bin\u00e4rdateien und erweiterte ihr Toolkit um Module f\u00fcr virtualisierte Umgebungen wie Linux und ESXi. Die gezielte Ausnutzung von IT-Abh\u00e4ngigkeiten machte Play zu einem der gef\u00e4hrlichsten Akteure des Jahres.<\/li>\n
  5. ShinyHunters z\u00e4hlt 2025 zu den gef\u00e4hrlichsten Akteuren. Die Gruppe infiltriert Cloud-Plattformen, bleibt oft monatelang unentdeckt und ver\u00f6ffentlicht gestohlene Daten erst, wenn sie sich verwerten lassen. Betroffen waren globale Marken wie Google, Salesforce und Kering. Ein zentrales Merkmal ist die gezielte Ausnutzung regulatorischer Pflichten. In Europa legte ShinyHunters den Zeitpunkt der Ver\u00f6ffentlichung h\u00e4ufig so, dass er mit offiziellen DSGVO-Meldungen zusammenfiel. Dadurch wurden Reputationssch\u00e4den und Compliance-Risiken zum Bestandteil der Erpressung. Die Angriffe zeigen, wie eng Cyberkriminalit\u00e4t und Regulierung inzwischen verbunden sind.<\/li>\n
  6. Lumma Stealer gilt als R\u00fcckgrat vieler moderner Ransomware-Operationen. Die Malware sammelt massenhaft Zugangsdaten, Cookies und Tokens aus infizierten Systemen. Diese Daten zirkulieren schnell auf Darknet-Marktpl\u00e4tzen und dienen Gruppen wie Akira, Qilin und Play als Einstiegspunkt f\u00fcr gezielte Angriffe.<\/li>\n<\/ol>\n

    Besonders wirksam ist die Kombination mit Social-Engineering-Kampagnen, etwa \u00fcber gef\u00e4lschte CAPTCHA-Meldungen oder Fehlermeldungen, die Benutzer zur Ausf\u00fchrung b\u00f6sartiger Befehle verleiten. Diese hybride Methode unterl\u00e4uft viele klassische Schutzmechanismen. Lumma zeigt, dass selbst gut gesicherte Umgebungen anf\u00e4llig werden k\u00f6nnen, wenn ein einziges kompromittiertes Konto in die Sammelroutine ger\u00e4t.<\/p>\n

    Worauf es jetzt ankommt<\/p>\n

    Trotz verbesserter Schutzma\u00dfnahmen und einer wachsenden Anzahl von Organisationen, die Zahlungen verweigern, bleibt die Ransomware-Szene \u00e4u\u00dferst lukrativ. Zwar haben sich L\u00f6segeldforderungen und -zahlungen nach einem Anstieg zu Jahresbeginn auf hohem Niveau eingependelt, doch die finanziellen Gesamtsch\u00e4den steigen weiter. W\u00e4hrend manche Gruppen Schwierigkeiten haben, ihre Forderungen durchzusetzen, verhandeln gut organisierte Akteure weiterhin mit erschreckender Pr\u00e4zision Vergleiche in Millionenh\u00f6he.<\/p>\n

    Diese Entwicklung unterstreicht, wie stark sich Ransomware als Gesch\u00e4ftsmodell professionalisiert hat und wie wichtig es ist, auch auf Verteidigungsseite strukturiert zu handeln. Viele effektive Ma\u00dfnahmen sind bekannt: regelm\u00e4\u00dfige Patches, glaubw\u00fcrdige Backup-Strategien, robuste Zugangskontrollen, geh\u00e4rtete Fernzug\u00e4nge und gezielte Sensibilisierung f\u00fcr Social Engineering. Wer diese Grundlagen in der Praxis fest verankert, verbessert nicht nur die eigene Reaktionsf\u00e4higkeit, sondern reduziert die Angriffsfl\u00e4che nachhaltig.<\/p>\n

    Weitere Einblicke zu den genannten Gruppen und ihre Vorgehensweise, zur Bedrohungslage 2025 und zu wirksamen Schutzma\u00dfnahmen liefert der vollst\u00e4ndige Nastiest Malware Report<\/a> von OpenText.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Wenn 2024 das Jahr des gro\u00dfen Comebacks der Ransomware war, dann war 2025 das Jahr, in dem sie pers\u00f6nliche Identit\u00e4ten ins Visier nahm. Cyberkriminelle drangen nicht mehr nur in Netzwerke ein, sie griffen gezielt Identit\u00e4ten an. Social Engineering, Deepfakes und KI-gest\u00fctzte Chattools verwandelten allt\u00e4gliche Kommunikation in Angriffsvektoren. Oft reichen gestohlene Passw\u00f6rter oder abgefangene Anrufe, um […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,10,11],"tags":[],"class_list":["post-1837","post","type-post","status-publish","format-standard","hentry","category-networks","category-recht-gesetz","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1837"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1837\/revisions"}],"predecessor-version":[{"id":1838,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1837\/revisions\/1838"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}