2025 stand im Zeichen gezielter Angriffe auf Identitäten. Cyberkriminelle nutzten künstliche Intelligenz, Deepfakes und automatisierte Chattools, um Passwörter, Stimmen oder persönliche Daten zu manipulieren. Statt ganze Netzwerke zu verschlüsseln, setzen Angreifer zunehmend auf Identitätsmissbrauch und den Verkauf oder die Veröffentlichung gestohlener Daten. 

Der aktuelle „Nastiest Malware Report“ von OpenText nennt sechs Gruppen, die das Jahr besonders geprägt haben:

• Qilin (Agenda) verantwortete mehr als 200 Angriffe auf Krankenhäuser und öffentliche Einrichtungen. Auffällig war ein Ransomware-Control-Panel, über das Partner direkt mit Verhandlungsberatern kommunizieren konnten – ein Beispiel für die zunehmende Professionalisierung im Cyberuntergrund.
• Akira war für fast jeden fünften dokumentierten Ransomware-Vorfall weltweit verantwortlich. Die Gruppe agiert nach klaren Abläufen, nutzt VPN-Schwachstellen und bietet ihre Dienste als Ransomware-as-a-Service-Plattform an.
• Scattered Spider kombinierte Social Engineering, SIM-Swapping und Deepfake-Stimmen, um Identitäten zu kompromittieren. Trotz Festnahmen im September 2025 setzen Nachahmer die Methoden fort.
• Play Ransomware kompromittierte über 900 Managed Service Provider und nutzte intermittierende Verschlüsselung, um Angriffe zu beschleunigen und schwerer erkennbar zu machen.
• ShinyHunters infiltrierte Cloud-Plattformen globaler Konzerne wie Google, Salesforce und Kering. Die Gruppe nutzt den Zeitpunkt von DSGVO-Meldungen gezielt, um den Druck auf betroffene Unternehmen zu erhöhen.
• Lumma Stealer dient als Grundlage vieler Angriffe, indem er Zugangsdaten und Cookies aus infizierten Systemen sammelt und verkauft. So werden selbst geschützte Umgebungen über kompromittierte Konten verwundbar.

Wer nun denkt, Ransomware ist auf dem Rückzug, der irrt. Zwar erzielt Ransomware nicht mehr laufend neue Rekorde, doch der Markt hat sich auf hohem Niveau stabilisiert. Die Erpressungsökonomie setzt heute weniger auf Brute-Force-Verschlüsselung, sondern auf gestohlene Daten und strategischen Druck.

Diese Entwicklung unterstreicht, wie stark sich Ransomware als Geschäftsmodell professionalisiert hat und wie wichtig es ist, auch auf Verteidigungsseite strukturiert zu handeln. Viele effektive Maßnahmen sind bekannt: regelmäßige Patches, glaubwürdige Backup-Strategien, robuste Zugangskontrollen, gehärtete Fernzugänge und gezielte Sensibilisierung für Social Engineering. Wer diese Grundlagen in der Praxis fest verankert, verbessert nicht nur die eigene Reaktionsfähigkeit, sondern reduziert die Angriffsfläche nachhaltig.