Advens Threat Status Report 2025/2026 So organisieren sich Ransomware-Gruppen

Quelle: Pressemitteilung 3 min Lesedauer

Ransomware-Gruppen setzen zunehmend auf Kooperation statt Konkurrenz. Laut Advens entstehen Allianzen und kartellartige Strukturen, die Angriffe effizienter machen und die Bedrohung für Unternehmen deutlich erhöhen.

Ransomware-Gruppen tun sich immer häufiger zusammen. Und dank Franchises und Affiliates können auch weniger technisch affine Akteure erfolgreich ins Cybercrime-Geschäft einsteigen. (Bild:  Neuropixel - stock.adobe.com)
Ransomware-Gruppen tun sich immer häufiger zusammen. Und dank Franchises und Affiliates können auch weniger technisch affine Akteure erfolgreich ins Cybercrime-Geschäft einsteigen.
(Bild: Neuropixel - stock.adobe.com)

In seinem Threat Status Report 2025/2026 hat der französische Cybersicherheitsanbieter Advens nicht nur einen Blick auf die Entwicklung von Cyberbedrohungen im vergangenen Jahr geworfen. Sondern auch darauf, wie Ransomware-Gruppe heute zusammenarbeiten und miteinander agieren.

Zusammenarbeit statt Rivalität

Wachsende Konkurrenz im Cybercrime habe den Analysten zufolge nicht zu mehr Rivalität geführt, sondern dazu, dass die Gruppen und Akteure ihre Ressourcen teilen und operative Fähigkeiten bündeln. Besonder zwei Formen der Zusammenarbeit hätten sich vorgetan: strategische Allianzen zwischen etablierten Ransomware-Franchises sowie die Entwicklung hin zu kartellartigen Strukturen.

Gruppen wie Qilin, SafePay und WorldLeaks hätten im vergangenen Jahr strategische Allianzen gebildet, um gezielt Organisationen im Gesundheitswesen, dem Finanzsektor, dem Einzelhandel sowie staatliche Institutionen anzugreifen. Qilin gehörte 2025 zu den weltweit aktivsten Ransomware-Gruppen mit durchschnittlich rund 75 Opfern pro Monat. In Deutschland waren 2025 laut Advens dies die aktivsten Hacker-Gruppen:

  • 1. Safepay: 77 Opfer
  • 2. Akira: 32 Opfer
  • 3. Qilin: 25 Opfer
  • 4. INC Ransom: 24 Opfer
  • 5. DragonForce: 15 Opfer
  • 6. Lynx: 13 Opfer
  • 7. Clop udn Fog: je 11 Opfer
  • 8. Sarcma: 10 Opfer
  • 9. RansomHub: 9 Opfer

Auch der Zusammenschluss „Scattered LAPSUS$ Hunters“ sei ein Beispiel für eine strategische Allianz. Das Kollektiv bündelt die Fähigkeiten von Scattered Spider, LAPSUS$ und ShinyHunters und wird mit Angriffen auf Unternehmen wie Toyota, FedEx, UPS, Adidas, Disney und McDonald’s in Verbindung gebracht.

Das Ransomware-Kartell DragonForce

Als Beispiel für ein „Ransomware-Kartell“ nennt der Bericht die Gruppe DragoForce. Ihr hybrides Organisationsmodell gehe über klassische Ransomware-as-a-Service-Strukturen hinaus, da DragonForce nicht als zentral gesteuerte Gruppe, sondern als Koalition von Affiliates agiere. Diese Affiliates würden eigene Kampagnen durchführen und dafür auf die Infrastruktur, Werkzeuge und Unterstützung des Ransomware-Kartells zugreifen. Dazu würden unter anderem Leak-Site-Hosting, die Verwaltung sicherer Zahlungen, C2-Server sowie ein Administrationstool für umfassendes Kampagnenmanagement zählen. Gleichzeitig würden Affiliates ihre eigene Identität, ihren Namen und ein gewisses Maß an operativer Autonomie behalten. Dieses Modell sei insbesondere für Akteure aus dem Umfeld von Gruppen wie LockBit, Conti oder RansomBay attraktiv.

Empfehlungen für deutsche Organisationen

„Wir beobachten eine zunehmende Professionalisierung des Ransomware-Ökosystems“, sagt Andreas Süß, CEO DACH von Advens. „Kooperationen zwischen Gruppen ermöglichen schnellere Angriffe, breitere Zielauswahl und effizientere Monetarisierung. Für Unternehmen, Behörden und Betreiber kritischer Infrastrukturen bedeutet dies eine erhöhte Bedrohungslage: Angreifer profitieren von arbeitsteiligen Strukturen, einer zentralen Infrastruktur und gegenseitiger Unterstützung.“

In Deutschland waren dem Report nach im vergangenen Jahr diese Branchen besonders stark von Cyberangriffen betroffen:

  • 1. Industrie: 62 Opfer
  • 2. Technologie und IT: 54 Opfer
  • 3. Transport und Logistik: 10 Opfer
  • 4. Dienstleistungen für Verbraucher: 9 Opfer
  • 5. Agrarwirtschaft: 8 Opfer
  • 6. Krankenhäuser und Gesundheitswesen: 7 Opfer
  • 7. Finanzdienstleistungen und Unternehmensdienstleistungen: je 6 Opfer
  • 8. Bauwesen: 5 Opfer
  • 9. Hotellerie und Tourismus: 4 Opfer
  • 10. Energie und Telekommunikation: je 3 Opfer
  • 11. Bildungswesen und öffentliche Verwaltung: je 2 Opfer

Mit insgesamt 333 Cyberattacken, zu denen sich kriminelle Gruppen bekannt hätten, läge Deutschland im weltweiten Ranking auf Platz drei der am häufigsten angegriffenen Länder. Platz eins belege die USA mit 3.399 Attacken, weit gefolgt von Kanada mit 361 Attacken. Auf Deutschland folge das Vereinigte Königreich mit 259 Attacken und Frankreich mit 182 Attacken.

Der Advens-Report enthält Empfehlungen, die sich auf fünf Säulen beziehen:

  • Schutz und Härtung von Systemen: Härtung von Arbeitsstationen und Servern gegen die Ausführung von Schadcode, priorisiertes Patch-Management für exponierte Bereiche, Reduzierung der Angriffsfläche und Systemhärtung
  • Zugriffs- und Berechtigungsmanagement: Starke Anti-Phishing-Authentifizierungs, strenge Kontrolle privilegierter Konten, Segmentierung von Berechtigungen mittels Zero Trust
  • Protokollierung und Überwachung: Erweiterte Überwachung von Befehlen und Skripten, Erkennung von C2-Kommunikation über Webprotokolle, Stärkung der Korrelation aus mehreren Quellen und Erkennung von Persistenzmechanismen
  • Segmentierung und Perimetersicherheit: Strenge Mikrosegmentierung und Trennung von Umgebungen, Härtung von Cloud-Umgebungen und Isolierung von Workloads, erweiterte Überprüfung verschlüsselten Datenverkehrs
  • Organisation und Reifegrad: Sensibilisierung und Kommunikation, Durchführung kontinuierlicher Tests und Erkennungsübungen, kontinuierliche Anreicherung von Threat Intelligence

(ID:50887248)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung