Threat Intelligence

Threat Actor Hub: Hackergruppen, die Unternehmen kennen sollten

15 relevante Ransomware-Gruppen und staatliche Akteure im Profil – wer sie sind, wie sie angreifen und was Sie dagegen tun können. Kein Ranking, sondern Threat Intelligence für Entscheider. Quellen: BSI, ENISA, CISA. Stand: Juli 2026.

Aktive Ransomware & Cybercrime

Finanziell motivierte Gruppen – verantwortlich für die Mehrzahl der Angriffe auf den Mittelstand.

RaaS · aktiv

Qilin

Aktivste RaaS-Gruppe nach dem LockBit-Ende; Fokus Mittelstand und Produktion.

Ransomware · aktiv

Akira

Bevorzugter Einstieg: VPN ohne MFA. Besonders gefährlich für KMU.

Extortion · aktiv

Cl0p

Massen-Erpressung über Zero-Days in Datei-Transfer-Software.

Ransomware · aktiv

Play

Hunderte Opfer über ungepatchte Randsysteme – auch in DACH.

RaaS · aktiv

RansomHub

Auffangbecken für Affiliates von LockBit und ALPHV.

RaaS · aktiv

Medusa

Erpressung mit öffentlichem Countdown; CISA/FBI-Warnung.

Ransomware · aktiv

INC Ransom

Ziele mit geringer Ausfalltoleranz: Kliniken, Industrie, Verwaltung.

Ransomware · aktiv

BlackSuit

Callback-Phishing; Rebranding von Royal, Conti-Wurzeln.

Cybercrime · aktiv

Scattered Spider

Social Engineering: Vishing, SIM-Swapping, Helpdesk-Betrug.

RaaS-Kartell · aktiv

DragonForce

Ransomware-„Kartell“ mit Affiliate-Marken.

RaaS · Conti-Umfeld

Black Basta

Schlagkräftig aus dem Conti-Umfeld; 2025 durch Leak geschwächt.

RaaS · aktiv

Rhysida

Kliniken, Schulen, Behörden; Vice-Society-Wurzeln.

RaaS · Hive-Nachfolge

Hunters International

Mutmaßlicher Hive-Nachfolger; hohe Schlagzahl.

Datenerpressung · aktiv

BianLian

Reine Datenerpressung ohne Verschlüsselung.

Ransomware · KMU

8Base

Phobos-Variante gegen KMU; 2025 teils zerschlagen.

Ransomware · aktiv

Cactus

Selbstverschlüsselnde Payload, Einstieg über VPN-Lücken.

Ransomware · aktiv

Cuba

Seit 2019 gegen Finanz-, Gesundheits- und KRITIS-Ziele.

Datenerpressung · aktiv

Everest

Erpressung und Zugangsverkauf; Fokus Gesundheitswesen.

Ransomware · aktiv

3AM

Rust-Ransomware als Ausweich-Werkzeug erfahrener Angreifer.

RaaS · aufkommend

SafePay

2024 gestartet, 2025 rasant in die Spitzengruppe gewachsen.

RaaS · aktiv

Lynx

Code-verwandt mit INC Ransom; KMU-Fokus.

Ransomware · aktiv

Fog

Einstieg über kompromittierte VPN-Zugänge; oft Bildung.

Cybercrime · finanziell

FIN7

Professioneller Betrieb, heute mit Ransomware-Bezug.

Cybercrime · Cl0p-nah

TA505

Großvolumige Malware-Kampagnen, eng mit Cl0p verwoben.

Staatlich gesteuerte Akteure (APT)

Spionage, Sabotage und strategische Positionierung – relevant für KRITIS, Rüstung und deren Zulieferer.

Historisch & zerschlagen

Aufgelöste, umbenannte oder zerschlagene Gruppen – wichtig zur Einordnung heutiger Nachfolger.

Hinweis zur Einordnung

Diese Übersicht ist bewusst kein „Ranking der gefährlichsten Hacker“: Gruppen benennen sich um, spalten sich auf und wechseln Werkzeuge. Grundlage sind öffentliche Threat-Intelligence-Quellen (BSI-Lagebericht, ENISA Threat Landscape, CISA-Advisories); wir aktualisieren die Profile fortlaufend. Für die akute Bedrohungslage zählt weniger der Name des Angreifers als Ihre Erkennungs- und Reaktionsfähigkeit.