15 relevante Ransomware-Gruppen und staatliche Akteure im Profil – wer sie sind, wie sie angreifen und was Sie dagegen tun können. Kein Ranking, sondern Threat Intelligence für Entscheider. Quellen: BSI, ENISA, CISA. Stand: Juli 2026.
Finanziell motivierte Gruppen – verantwortlich für die Mehrzahl der Angriffe auf den Mittelstand.
Aktivste RaaS-Gruppe nach dem LockBit-Ende; Fokus Mittelstand und Produktion.
Bevorzugter Einstieg: VPN ohne MFA. Besonders gefährlich für KMU.
Massen-Erpressung über Zero-Days in Datei-Transfer-Software.
Hunderte Opfer über ungepatchte Randsysteme – auch in DACH.
Auffangbecken für Affiliates von LockBit und ALPHV.
Erpressung mit öffentlichem Countdown; CISA/FBI-Warnung.
Ziele mit geringer Ausfalltoleranz: Kliniken, Industrie, Verwaltung.
Callback-Phishing; Rebranding von Royal, Conti-Wurzeln.
Social Engineering: Vishing, SIM-Swapping, Helpdesk-Betrug.
Ransomware-„Kartell“ mit Affiliate-Marken.
Schlagkräftig aus dem Conti-Umfeld; 2025 durch Leak geschwächt.
Kliniken, Schulen, Behörden; Vice-Society-Wurzeln.
Mutmaßlicher Hive-Nachfolger; hohe Schlagzahl.
Reine Datenerpressung ohne Verschlüsselung.
Phobos-Variante gegen KMU; 2025 teils zerschlagen.
Selbstverschlüsselnde Payload, Einstieg über VPN-Lücken.
Seit 2019 gegen Finanz-, Gesundheits- und KRITIS-Ziele.
Erpressung und Zugangsverkauf; Fokus Gesundheitswesen.
Rust-Ransomware als Ausweich-Werkzeug erfahrener Angreifer.
2024 gestartet, 2025 rasant in die Spitzengruppe gewachsen.
Code-verwandt mit INC Ransom; KMU-Fokus.
Einstieg über kompromittierte VPN-Zugänge; oft Bildung.
Professioneller Betrieb, heute mit Ransomware-Bezug.
Großvolumige Malware-Kampagnen, eng mit Cl0p verwoben.
Spionage, Sabotage und strategische Positionierung – relevant für KRITIS, Rüstung und deren Zulieferer.
Spearphishing gegen Politik, Verteidigung und Logistik.
Die Gruppe hinter SolarWinds; Cloud- und Lieferkettenangriffe.
Stromausfälle, NotPetya, Wiper – Maßstab für OT-Bedrohungen.
Milliarden-Krypto-Diebstähle und Fake-Job-Kampagnen.
Living off the Land in kritischen Infrastrukturen.
Staatsspionage und Cybercrime zugleich; Supply-Chain.
Regierungen und NGOs via PlugX und USB, auch Europa.
Tiefe Eindringungen in Telekommunikationsnetze.
„Cloud Hopper“: Angriff über IT-Dienstleister.
Gezielte Spionage gegen Politik, Think Tanks, Forschung.
Luftfahrt und Energie; Spionage mit Sabotagepotenzial.
Spionage mit getarnter C2-Kommunikation.
Zugangsdaten über geduldiges Social Engineering.
Missbrauch legitimer Fernwartungssoftware.
Hochentwickelte Spionage, bis zu Satelliten-C2.
Hochfrequente Phishing-Wellen, v. a. gegen die Ukraine.
Gezieltes Credential-Phishing gegen Politik und NGOs.
Aufgelöste, umbenannte oder zerschlagene Gruppen – wichtig zur Einordnung heutiger Nachfolger.
Einst dominierend; 2024 durch Operation Cronos zerschlagen.
Führende RaaS-Gruppe bis zum Exit-Scam 2024.
Ransomware-Kartell; DNA von Black Basta und BlackSuit.
2023 vom FBI abgeschaltet; Nachfolger Hunters International.
2023 in BlackSuit umbenannt; Conti-Umfeld.
Kaseya und JBS; 2022 Festnahmen in Russland.
Colonial-Pipeline-Angriff; danach eingestellt.
Pionier der Double Extortion.
Schulen und Kliniken; ging ins Rhysida-Umfeld über.
Diese Übersicht ist bewusst kein „Ranking der gefährlichsten Hacker“: Gruppen benennen sich um, spalten sich auf und wechseln Werkzeuge. Grundlage sind öffentliche Threat-Intelligence-Quellen (BSI-Lagebericht, ENISA Threat Landscape, CISA-Advisories); wir aktualisieren die Profile fortlaufend. Für die akute Bedrohungslage zählt weniger der Name des Angreifers als Ihre Erkennungs- und Reaktionsfähigkeit.