Die Zeiten „opportunistischer Ransomware-Angriffe“ (Angriffe, bei denen Angreifer gängige Methoden wie Phishing einsetzen, um zahlreiche Organisationen gleichzeitig anzugreifen, mit dem Ziel, durch die Verschlüsselung von Daten und die Forderung nach Lösegeld schnellen finanziellen Gewinn zu erzielen. Diese Vorgehensweise war lange weit verbreitet, da sie es Angreifern ermöglicht, Schwachstellen auszunutzen, ohne ihre Taktiken speziell auf einzelne Opfer zuschneiden zu müssen) sind oder gehen gerade vorbei. Das zeigt der Threat Status Report 2025/2026 von aDvens, einem unabhängigen europäischen Anbieter von Managed Cybersecurity Services.
Angesichts wachsender Konkurrenz schließen sich Ransomware-Gruppen zusammen, teilen Ressourcen und bündeln operative Fähigkeiten. Dabei setzen die Gruppen auf zwei Formen der Zusammenarbeit: strategische Allianzen zwischen etablierten Ransomware-Franchises sowie die Entwicklung hin zu kartellartigen Strukturen. Gruppen wie Qilin, SafePay und WorldLeaks haben strategische Allianzen gebildet, um gezielt Organisationen im Gesundheitswesen, dem Finanzsektor, dem Einzelhandel sowie staatliche Institutionen anzugreifen. Qilin gehörte 2025 zu den aktivsten Ransomware-Gruppen mit durchschnittlich rund 75 Opfern pro Monat.
Auch der Zusammenschluss „Scattered LAPSUS$ Hunters“ ist ein Beispiel für eine strategische Allianz. Das Kollektiv bündelt die Fähigkeiten von Scattered Spider, LAPSUS$ und ShinyHunters und wird mit Angriffen auf Unternehmen wie Toyota, FedEx, UPS, Adidas, Disney und McDonald’s in Verbindung gebracht.
Das Ransomware-Kartell DragonForce
DragonForce ist ein Beispiel für ein „Ransomware-Kartell“. Dieses hybride Organisationsmodell geht über klassische Ransomware-as-a-Service-Strukturen hinaus. DragonForce agiert nicht als zentral gesteuerte Gruppe, sondern als Koalition von Affiliates.
Diese Affiliates führen eigene Kampagnen durch und greifen dafür auf die Infrastruktur, Werkzeuge und Unterstützung des Ransomware-Kartells zu. Dazu zählen unter anderem Leak-Site-Hosting, die Verwaltung sicherer Zahlungen, C2-Server sowie ein Administrationstool für umfassendes Kampagnenmanagement. Gleichzeitig behalten Affiliates ihre eigene Identität, ihren Namen und ein gewisses Maß an operativer Autonomie. Dieses Modell ist insbesondere für Akteure aus dem Umfeld von Gruppen wie LockBit, Conti oder RansomBay attraktiv.
Zum aDvens Threat Status Report 2025/2026 (kostenlos nach Registrierung)