Einleitung
Trotz Festnahmen, Stilllegungen und der vermeintlichen Zerschlagung mehrerer großer Ransomware-Gruppen war 2025 kein Rückgang bei den Schäden durch Ransomware zu verzeichnen. Die Zahlen der Opfer sind weiter stark angestiegen, neue Gruppen tauchten auf der Bildfläche auf und Angreifer hatten mithilfe von Social Engineering mehr Erfolg als durch technische Schwachstellen.
Untergang großer RaaS-Gruppen und Aufstieg neuer Gruppierungen
Während ich hier an meinem Schreibtisch auf das Jahr 2025 zurückblicke, muss ich überrascht feststellen, wie viel sich geändert hat und gleichzeitig doch alles dasselbe geblieben ist.
Die internationalen Strafverfolgungsbehörden konnten zwar erhebliche Erfolge erzielen und etliche Ransomware-Gangs mit Festnahmen, der Übernahme von Infrastrukturen und dem Stilllegen von Darknet-Seiten stören, aber dennoch steigen die Opferzahlen insgesamt beständig weiter an.
2025 nach Zahlen
Zur Analyse der Ransomware-Aktivitäten für 2025 haben wir die globalen Daten von RansomLook.io und Ransomware.live als Basis genommen. Die beiden angesehenen Plattformen verfolgen Ransomware-Opferangaben über Leakseiten im Darknet, Foren von Kriminellen, Telegram-Kanäle und andere Quellen im Untergrund.
Da sie dabei verschiedene Herangehensweisen nutzen, unterscheiden sich die Zahlen leicht, wodurch insbesondere seit 2023 unabhängige, aber im Großen und Ganzen konsistente Datensätze entstehen. Wir haben die Daten der letzten Jahre analysiert, um zu sehen, welche Trends sich möglicherweise abzeichnen.
Unverminderter Anstieg der Opferzahlen
Die Anzahl der von den Ransomware-Gruppen in den letzten drei Jahren beanspruchten Opfer steigt unvermindert weiter. Zwar sind diese Angaben nicht immer genau, doch die Zahlen lassen uns dennoch einen allgemeinen Trend absehen. Hier ist anzumerken, dass diese Zahlen zweifelsohne wesentlich niedriger sind als die tatsächliche Opferzahl, da lediglich eine Minderheit der Vorfälle gemeldet wird und damit nachverfolgt werden kann.
| RansomLook.io | 2023 | 2024 | 2025 |
| Anzahl der Opfer | 5 422 | 6 034 | 8 835 |
| Jahr/jährlicher Anstieg | 19 % | 11 % | 46 % |
| Ransomware.live | 2023 | 2024 | 2025 |
| Anzahl der Opfer | 5 336 | 6 129 | 8 159 |
| Jahr/jährlicher Anstieg | 87 % | 15 % | 33 % |
Seit 2023 ist die Anzahl der weltweiten Opfer mit jedem Jahr von ungefähr 5 400 auf über 8 000 im Jahr 2025 angestiegen. Ein prozentuales Wachstum im zweistelligen Bereich hat zwischen 2023 und 2025 zu einem Anstieg von insgesamt 53 % (nach Ransomware.live-Daten) bzw. 63 % (nach RansomLook.io-Daten) geführt.
Unter Ransomware-Beobachtern wird spekuliert, inwiefern die Maßnahmen der Strafverfolgungsbehörden gegenüber Ransomware-Gruppen und deren Akteuren zu deren Zersplitterung und Formierung neuer Gruppierungen geführt haben. Das lässt sich zwar nur schwer bestätigen, aber die Daten zu den Aktivitäten der Gruppen geben einige interessante Einblicke.
Mit dem Anstieg der Opferzahlen ist auch die Anzahl der Ransomware-Gruppen gewachsen. Tatsächlich scheinen die Gruppen im selben Maße wie die Opfer zuzunehmen, da die durchschnittliche Opferzahl pro aktiver Gruppe seit 2023 relativ beständig geblieben ist. Möglicherweise hat die Aufmerksamkeit, die große Ransomware-Gruppen seitens der Behörden auf sich ziehen, dafür gesorgt, dass sich besonders erfolgreiche Akteure regelmäßig abspalten und umbenennen.
| RansomLook.io | 2023 | 2024 | 2025 |
| Aktive Gruppen | 72 | 103 | 141 |
| Anstieg der aktiven Gruppen | 16 % | 43 % | 37 % |
| Durchschn. Opfer/Gruppe | 75 | 59 | 63 |
| Ransomware.live | 2023 | 2024 | 2025 |
| Aktive Gruppen | 71 | 96 | 126 |
| Anstieg der aktiven Gruppen | 9 % | 35 % | 31 % |
| Durchschn. Opfer/Gruppe | 75 | 64 | 65 |
Unter den führenden Ransomware-Gruppen mit den meisten Opfermeldungen scheint es einen anhaltenden Wechsel zu geben. In den vergangenen drei Jahren waren dies die Top 5:
| RansomLook.io Gruppe (Opfer) |
2023 | 2024 | 2025 |
| 1 | Lockbit 3 (1054) | Ransomhub (632) | Qilin (1029) |
| 2 | Alphv (454) | Lockbit3 (585) | Akira (640) |
| 3 | Cl0p (399) | Play (354) | Cl0p (549) |
| 4 | Play (305) | Akira (313) | Play (385) |
| 5 | 8base (280) | Hunters (234) | Safepay (380) |
| Ransomware.live Gruppe (Opfer) |
2023 | 2024 | 2025 |
| 1 | Lockbit 3 (1054) | Ransomhub (611) | Qilin (1058) |
| 2 | Alphv (627) | Lockbit3 (537) | Akira (750) |
| 3 | Cl0p (389) | Play (367) | Cl0p (518) |
| 4 | Play (318) | Dispossessor (344) | Play (391) |
| 5 | 8base (278) | Akira (317) | Incransom (388) |
Druck der Behörden und Verschwinden von Gruppen
Trotz der wachsenden Opferzahlen wurde es 2025 um etliche namhafte Ransomware-Gruppen still oder sie verschwanden ganz. Das kann zwar nicht in allen Fällen direkt Strafverfolgungsmaßnahmen gutgeschrieben werden, allerdings gehen viele Beobachter zumindest von wirkungsvollen Störungen aus.
Bekannte Gruppen, die 2025 ihre Aktivitäten pausiert oder eingestellt haben:
- RansomHub – letzter Beitrag am 24. Januar 2025 – möglicherweise zugunsten von Qilin
- Babuk-Bjorka – letzter Beitrag am 4. April 2025
- FunkSec – letzter Beitrag am 19. März 2025
- BianLian – letzter Beitrag am 31. März 2025
- 8Base – letzter Beitrag am 1. Februar 2025 – Maßnahmen der Strafverfolgungsbehörden
- Cactus – letzter Beitrag am 30. Januar 2025
- Hunters International – letzter Beitrag am 20. Januar 2025 – Bekanntgabe auf Leakseite, den Betrieb einzustellen
Das Verschwinden erfolgreicher Gruppen führt häufig zu einem offenen Wettbewerb, um die produktivsten Akteure anzuheuern. Wir dürfen trotz steigender Opferzahlen weiter hoffnungsvoll bleiben, denn der Druck seitens der Strafverfolgungsbehörden scheint Wirkung auf die Kriminellen zu zeigen.
Lose Zusammenschlüsse: Das Jahr von Scattered Spider, ShinyHunters, Lapsus$ und Scattered LAPSUS$ Hunters
Scattered Spider und ShinyHunters waren 2025 besonders aktiv, wobei sie bereits seit einiger Zeit aktiv sind und schon in der Vergangenheit alarmierend umtriebige Phasen hatten. Im Frühjahr 2020 sorgten ShinyHunters für reichlich Stirnrunzeln, als sie erstmals auftraten und behaupteten Hunderte Millionen Aufzeichnungen von mehreren Quellen, darunter Microsoft, zu verkaufen. 2025 gelang es ihnen mit ihren Social-Engineering-Taktiken, die auf Salesforce-Kunden abzielten, bei verschiedenen Unternehmen einzudringen. Die Gruppe scheint vor allem die Aufmerksamkeit durch diese Angriffe zu interessieren. Diese Art von Überheblichkeit deutet auf einen Mangel an Weitsicht und Reife hin, da derartige Berühmtheit die Aufmerksamkeit der Strafverfolgungsbehörden auf sich zieht. Folglich gelang es auch schon, einige Mitglieder von ShinyHunters zu verhaften. Scattered Spider hingegen machte Schlagzeilen mit spektakulären Angriffen auf britische Unternehmen wie Marks & Spencer, Co-op und Harrods, die ebenfalls zu vier Festnahmen führten.
Der lose Zusammenschluss der Hackergruppen Scattered Spider, ShinyHunters und Lasus$ unter dem nicht sonderlich einfallsreichen Namen Scattered Lapsus$ Hunters führte schließlich einen Angriff auf Jaguar Land Rover im Vereinigten Königreich durch. Allein dieser Angriff kostete die Wirtschaft des Landes Schätzungen zufolge 1,9 Milliarden GBP.
Die wichtigste Erkenntnis aus diesen Angriffen ist, dass diese kriminellen Gruppen besonders gut im Social Engineering sind, also Leute über das Telefon oder anderweitig dazu zu bringen, ihre Anmeldedaten herauszugeben. Derartige Bedrohungen werden mit KI-generierten Deepfakes nur noch tückischer. Daher erfordert eine wirkungsvolle Cybersecurity-Strategie nicht nur technische Lösungen, sondern auch Bewusstsein. Gut informierte und geschulte Mitarbeiter sind für einer solide Abwehr unerlässlich.
Fazit: Mehr Opfer trotz Störmaßnahmen
Die Ransomware-Landschaft im Jahr 2025 ist ernüchternd. Während die Maßnahmen der Strafverfolgungsbehörden zwar Wirkung zeigen und große Gruppen zerbrechen lassen, zum Einstellen des Betriebs zwingen sowie für Instabilität bei führenden Ransomware-Gruppen sorgen, haben sie leider keine Auswirkungen auf die Opferzahlen.
Stattdessen wurde Ransomware immer dezentraler, umkämpfter und widerstandsfähiger. Solange es genügend Akteure gibt und Social Engineering ein wirksames Mittel bleibt, werden auch die Opferzahlen weiter steigen.
Der weitere Weg darf sich nicht allein auf Technologien stützen. Cybersicherheit hängt auch gleichermaßen vom menschlichen Bewusstsein ab. In einer Welt, in der Ransomware-Gruppen zwar ausgehebelt werden, aber Ransomware selbst weiter auf dem Vormarsch bleibt, sind geschulte Mitarbeiter, erprobte Notfallpläne und wirklichkeitsgetreue Bedrohungsmodelle wirkungsvolle Schutzmaßnahmen.