RaaS · Neustart 2025
LockBit 5.0
Neustart von LockBit (September 2025) nach Operation Cronos. Plattformübergreifender Encryptor (Windows, Linux, ESXi, Proxmox), AES-256-CTR mit RSA-2048, fortgeschrittene Evasion (Process Hollowing, ETW-Patching, Log-Löschung). Doppelte Erpressung.
RaaS · Conti-Linie
Akira
Aktiv seit 2023, 2025 unter den umsatzstärksten. Zugang über VPNs ohne MFA und ungepatchte Firewalls: CVE-2024-40766 (SonicWall), CVE-2023-20269 (Cisco ASA), CVE-2024-37085 (VMware ESXi), CVE-2024-40711 (Veeam). Doppelte Erpressung.
RaaS · hohes Volumen
Qilin
Früher Agenda (2022), Ende 2025 über tausend Opfer auf der Leak-Site, Fertigung an der Spitze. Zugang über Phishing und exponierte Anwendungen, Cobalt Strike, Rclone zur Exfiltration. Erst exfiltrieren, dann verschlüsseln.
RaaS · Kartell
DragonForce
Seit 2023, im März 2025 zum «Kartell» erklärt, übernahm nach dem Kollaps im April 2025 die RansomHub-Affiliates. Nutzt die Ivanti-Kette (CVE-2024-21887, CVE-2024-21893) und Log4Shell (CVE-2021-44228). White-Label-Modell, hybride Erpressung.
RaaS · seit 2023
INC Ransom
Quellcode (Juli 2024) an die Betreiber von Lynx übergeben, der als Nachfolger gilt. Vortäuschung von IT-Personal, Missbrauch legitimer Tools. Doppelte Erpressung mit Leak-Site.
Erpressung · Rebrand
World Leaks
Rebrand (Januar 2025) von Hunters International: verzichtet auf Verschlüsselung zugunsten reiner Exfiltration (Extortion as a Service). Eigene Exfiltrations-Tools für Affiliates.
Erpressung · Ex-LockBit
Bashe (APT73)
2024 als APT73 aufgetaucht (dann Eraleig, dann Bashe). Leak-Site, die das Layout von LockBit nachahmt. Wahrscheinlich aus einem früheren LockBit-Affiliate nach der Disruption 2024.
RaaS · 2025
TheGentlemen
Seit 2025, starke Fortinet-Ausnutzung (CVE-2024-55591). Living off the Land (AnyDesk, PsExec, PowerShell), Verbreitung über Gruppenrichtlinien, eigene Evasion. Doppelte Erpressung.
Geschlossene Gruppe · 2025
DeadLock
Seit 2025, BYOVD zum Deaktivieren von EDR (CVE-2024-51324, Baidu-Treiber), Proxy-Rotation über Polygon-Smart-Contracts, Kommunikation über Session. Rund 57 % der Opfer in der Region Europa und Russland.
RaaS · Hacktivismus
Stormous
Aktiv seit 2022, pro-russisch, Teil der «Five Families» und mit Dragon RaaS verbunden. Spear-Phishing, Ausnutzung exponierter VPN und RDP, Brute-Force. Politisch motivierte doppelte Erpressung.
Geschlossene Gruppe · 2024
SafePay
Seit September 2024, kein RaaS. Zugang über gültige Zugangsdaten und Edge-Geräte (VPN, Firewall, RD Gateway), ChaCha20-Verschlüsselung, Kette teils unter 24 Stunden. Ziel: KMU und MSP.
Erpressung · 2025
NightSpire
Seit März 2025 (Nachfolger von Rbfs), nutzt Fortinet CVE-2024-55591, zielt auf KMU mit Zwei-Tage-Fristen. Exfiltration über Rclone und MEGA, dann Verschlüsselung AES-256 mit RSA-2048.
Doppelte Erpressung · 2024
Space Bears
Seit 2024, an die Phobos-Infrastruktur gebunden. Leak-Site mit «Corporate»-Ästhetik. Trifft KMU aus Fertigung, Technologie und Gesundheitswesen in den USA und Europa.
RaaS · RALord-Rebrand
Nova
Rebrand (April 2025) von RALord. Rust-Encryptor, Verhandlung über qTox. Gibt an, Schulen und Non-Profits zu verschonen. Doppelte Erpressung.
Erpressung · Leak-Site
Titan
Erpressungsmarke mit Ansprüchen 2026, von Aggregatoren erfasst. Veröffentlicht Datenproben (Gehaltsabrechnungen, Dokumente). Öffentliche technische Details noch begrenzt.
Doppelte Erpressung · 2026
M3rx
2026 aufgetaucht, Go-Encryptor (X25519-Schlüsselaustausch, AES-CTR und AES-GCM), Selbstlöschung über PowerShell. Erste Opfer vor allem in IT und MSP, Kontakt über Tox.
RaaS · seit 2019
MedusaLocker
Seit 2019 von Affiliates eingesetzt (nicht zu verwechseln mit «Medusa» von 2021). Zugang über RDP-Brute-Force und gestohlene Zugangsdaten, Verbreitung über RDP, PsExec, SMB. Doppelte Erpressung.
Erpressung · seit 2020
Everest
Seit 2020, Übergang von der Verschlüsselung zur reinen Exfiltration und zum Access-Brokering. Über 120 Opfer im Gesundheitswesen, mit eigenen Warnungen in den USA.
Geschlossene Gruppe · 2025
PayoutsKing
Seit Juli 2025, eigener RSA-mit-AES-256-Encryptor und starke Anti-Analyse (Hashing von APIs und Strings, direkte Syscalls). Phishing als Erstzugang, rund 100 beanspruchte Opfer.
Erpressung · 2025
Coinbase Cartel
Seit September 2025 (keine Verbindung zur Coinbase-Börse), reine Exfiltration. Zugang über von Infostealern gestohlene Zugangsdaten, gestaffelte Leaks und Auktionen. Über 160 beanspruchte Opfer.
RaaS · 2024
Anubis
Seit Dezember 2024, verbindet doppelte Erpressung mit einem zerstörerischen «Wipe»-Modus (seltener Fall von Encryptor plus Wiper). Spear-Phishing, flexible Affiliate-Splits (80/20, 60/40, 50/50).
Erpressung · 2025
NetRunner
Seit 2025, trifft Gesundheitswesen, Telekommunikation und Fertigung (Japan, Italien, USA, Jordanien). 100-Millionen-Lösegeld von einem japanischen Krankenhaus gefordert. RaaS- oder geschlossene Struktur unbestätigt.
IAB und Erpressung · 2026
ALP-001
Früher «Alpha/DGJT», Leak-Site aktiv seit 2026. Monetarisiert Zugang zu exponierten Perimeter-Geräten (Fortinet, Cisco, Citrix, Palo Alto). Viele Ansprüche nicht verifizierbar.
RaaS · 2025
Tengu
Seit Oktober 2025 (später 2026 in «Shisa» umbenannt). Missbrauch gültiger Konten über RDP und VPN ohne MFA, intermittierende Verschlüsselung für Tempo. Leak-Site mit Countdown, rund 50 Opfer.
Doppelte Erpressung · 2026
Payload
Seit 2026, von Babuk abgeleiteter Code, plattformübergreifend Windows und ESXi. 12 Opfer beim Start in sieben Ländern beansprucht. Öffentliche Details noch begrenzt.
Erpressung · 2026
Lamashtu
Neuer Akteur 2026 aufgetaucht, kleine Leak-Site (Energie, Pharma) zwischen Frankreich, Rumänien und Thailand. Natur als verschlüsselnde Ransomware noch nicht bestätigt.
RaaS · 2026
Vect
Rekrutiert seit Ende 2025, C++-Multi-OS-Malware (Windows, Linux, ESXi). Bekannter kritischer Fehler: Dateien über 128 KB werden zerstört statt verschlüsselt. Verbindungen zu BreachForums und TeamPCP.