Wenn 2024 als Jahr des Comebacks der Ransomware galt, dann war 2025 das Jahr, in dem Angriffe gezielt auf Identitäten gerichtet waren. Das schreibt OpenText in der Pressemitteilung zur Veröffentlichung des jährlichen Nastiest Malware Report. Demnach drangen Cyberkriminelle nicht mehr nur in Netzwerke ein, sondern griffen gezielt Identitäten an. Social Engineering, Deepfakes und KI?gestützte Chattools verwandelten alltägliche Kommunikation in Angriffsvektoren. Gestohlene Passwörter oder abgefangene Anrufe reichten oft für den Zugriff auf interne Systeme.
Identitäten als Angriffsvektoren
Mit künstlicher Intelligenz, die Phishing, Stimmklonen und gefälschte Vorstellungsgespräche ermöglicht, wurde Cyberkriminalität zu einem Instrument der Identitätsmanipulation. Angreifer verwendeten legitime Zugangsdaten und umgingen damit klassische Sicherheitsmechanismen. Ransomware erzielte keine neuen Rekorde, der Markt blieb aber auf hohem Niveau stabil. Die Erpressungsökonomie setzte weniger auf Brute?Force?Verschlüsselung, sondern auf gestohlene Daten und Druckmittel.
Besonders auffällige Angreifer
Laut dem Report haben sechs Gruppen das Jahr 2025 geprägt:
Qilin (Agenda) verursachte über 200 bestätigte Angriffe auf Krankenhäuser, Labore und kommunale Einrichtungen. In einem Fall führte der Ausfall von Diagnosediensten zum Tod eines Patienten. Eine Funktion im Ransomware?Control?Panel ermöglichte es Partnern, mit einem von Qilin gestellten Verhandlungsberater zu kommunizieren. Die Standardisierung dieser Abläufe deutete auf eine zunehmend strukturierte Ransomware?as?a?Service?Infrastruktur hin.
Akira fokussierte sich auf Unternehmen und Managed Service Provider und war für nahezu jeden fünften Ransomware?Vorfall weltweit verantwortlich. Die Gruppe arbeitete mit festen Abläufen und kontrollierten Verhandlungen. Rabattaktionen und klare Regeln sollten Verlässlichkeit signalisieren. Akira nutzte VPN?Schwachstellen, agierte international und etablierte sich zur Ransomware?as?a?Service?Plattform.
Scattered Spider gehörte 2025 zu den einflussreichsten Gruppen. Durch Social Engineering, SIM?Swapping und Deepfake?Stimmen kompromittierte sie Unternehmen und umging Zugriffssysteme. Im September wurden Kernmitglieder festgenommen, Teile der Struktur führten die Methoden weiter. Die Kombination aus technischem Vorgehen und gezielter Identitätsausnutzung machte die Gruppe zu einem wichtigen Akteur bei Zugangsangriffen.
Play Ransomware versuchte 2025 mehr als 900 Managed Service Provider zu kompromittieren und griff damit auch deren Kundensysteme an. Die Gruppe verwendete intermittierende Verschlüsselung, bei der nur Dateianteile betroffen waren, was den Prozess beschleunigte und Erkennung erschwerte. Zudem nutzte sie angepasste Binärdateien und Tools für Linux? und ESXi?Umgebungen. Die gezielte Ausnutzung von Abhängigkeiten machte Play zu einem bedeutenden Akteur.
ShinyHunters zählte 2025 zu den aktivsten Gruppen. Die Akteure drangen in Cloud?Plattformen ein und blieben oft über Monate unbemerkt. Sie veröffentlichten gestohlene Daten, wenn sie wirtschaftlich verwertbar waren. Betroffen waren u. a. Google, Salesforce und Kering. ShinyHunters nutzte regulatorische Abläufe, indem Veröffentlichungen auf Zeiträume amtlicher DSGVO?Meldungen gelegt wurden, um zusätzlichen Druck auf Unternehmen auszuüben.
Lumma Stealer bildete eine Grundlage vieler Ransomware?Vorfälle. Die Malware sammelte Zugangsdaten, Cookies und Tokens aus infizierten Systemen. Diese Informationen wurden auf Darknet?Marktplätzen weitergegeben und von anderen Gruppen als Einstieg für Angriffe verwendet. Lumma kombinierte Datendiebstahl mit Social?Engineering?Kampagnen, etwa über gefälschte CAPTCHA? oder Fehlermeldungen, die Benutzer zur Ausführung bösartiger Befehle bewegten.
Erpressungen weiter eine Gefahr
Trotz verbesserter Abwehrmaßnahmen und zunehmender Verweigerung von Zahlungen bleibt Ransomware ein profitorientiertes Instrument. Lösegeldforderungen und ?zahlungen stabilisierten sich nach einem Anstieg zu Jahresbeginn auf hohem Niveau. Die finanziellen Gesamtschäden steigen weiter. Einige Gruppen haben Schwierigkeiten, Forderungen durchzusetzen, andere organisierte Akteure verhandeln nach wie vor Zahlungen in Millionenhöhe. Die Professionalisierung dieses Modells hält an.
