Cyber Threat Intelligence · Ransomware · 24·7·365

Die Ransomware-Gruppen, die Europa ins Visier nehmen.

Ein Angriff ist kein Ereignis. Er ist jemand. Unser europäisches SOC, seit 2017 aus Mailand betrieben, verfolgt 287 Gegnergruppen und Angriffswerkzeuge: Dies sind die Profile der aktivsten Ransomware-Gruppen, mit Aliasen, Zugangstechniken, ausgenutzten CVEs und Erpressungsmodell. Wenn wir eingreifen, wissen wir bereits, wer sie sind und wie sie vorgehen.

27Gruppen im Profil
287Gegner und Werkzeuge verfolgt
24·7Europäisches SOC
Quellen · Intelligence
Feldbeobachtete TTPs
Leak-Site-Monitoring
C2-Infrastruktur
MITRE ATT&CK
SOC-Standards
ISO 27001
STIX/TAXII
ISO 9001
Warum ein Profil pro Gruppe

Keine «raffinierten Angreifer». Ein Name, eine Technik.

Der Unterschied zwischen Erkennen und Erleiden ist, den Gegner zu kennen, bevor er handelt. Jedes Profil sammelt, was das Triage braucht: Abstammung und Rebrands, Techniken des Erstzugangs, tatsächlich ausgenutzte CVEs, Erpressungsmodell. Die TTPs dieser Gruppen sind in die Detection-Regeln des SOC integriert.

Threat Intelligence · verfolgte Gruppen

Siebenundzwanzig Ransomware-Gruppen, je ein Profil.

Profile auf Basis feldbeobachteter Techniken und Überwachung der Leak-Infrastruktur. Wo öffentliche Daten noch dünn sind, sagt es die Karte: wir erfinden keine Zahlen.

RaaS · Neustart 2025

LockBit 5.0

Neustart von LockBit (September 2025) nach Operation Cronos. Plattformübergreifender Encryptor (Windows, Linux, ESXi, Proxmox), AES-256-CTR mit RSA-2048, fortgeschrittene Evasion (Process Hollowing, ETW-Patching, Log-Löschung). Doppelte Erpressung.

RaaS · Conti-Linie

Akira

Aktiv seit 2023, 2025 unter den umsatzstärksten. Zugang über VPNs ohne MFA und ungepatchte Firewalls: CVE-2024-40766 (SonicWall), CVE-2023-20269 (Cisco ASA), CVE-2024-37085 (VMware ESXi), CVE-2024-40711 (Veeam). Doppelte Erpressung.

RaaS · hohes Volumen

Qilin

Früher Agenda (2022), Ende 2025 über tausend Opfer auf der Leak-Site, Fertigung an der Spitze. Zugang über Phishing und exponierte Anwendungen, Cobalt Strike, Rclone zur Exfiltration. Erst exfiltrieren, dann verschlüsseln.

RaaS · Kartell

DragonForce

Seit 2023, im März 2025 zum «Kartell» erklärt, übernahm nach dem Kollaps im April 2025 die RansomHub-Affiliates. Nutzt die Ivanti-Kette (CVE-2024-21887, CVE-2024-21893) und Log4Shell (CVE-2021-44228). White-Label-Modell, hybride Erpressung.

RaaS · seit 2023

INC Ransom

Quellcode (Juli 2024) an die Betreiber von Lynx übergeben, der als Nachfolger gilt. Vortäuschung von IT-Personal, Missbrauch legitimer Tools. Doppelte Erpressung mit Leak-Site.

Erpressung · Rebrand

World Leaks

Rebrand (Januar 2025) von Hunters International: verzichtet auf Verschlüsselung zugunsten reiner Exfiltration (Extortion as a Service). Eigene Exfiltrations-Tools für Affiliates.

Erpressung · Ex-LockBit

Bashe (APT73)

2024 als APT73 aufgetaucht (dann Eraleig, dann Bashe). Leak-Site, die das Layout von LockBit nachahmt. Wahrscheinlich aus einem früheren LockBit-Affiliate nach der Disruption 2024.

RaaS · 2025

TheGentlemen

Seit 2025, starke Fortinet-Ausnutzung (CVE-2024-55591). Living off the Land (AnyDesk, PsExec, PowerShell), Verbreitung über Gruppenrichtlinien, eigene Evasion. Doppelte Erpressung.

Geschlossene Gruppe · 2025

DeadLock

Seit 2025, BYOVD zum Deaktivieren von EDR (CVE-2024-51324, Baidu-Treiber), Proxy-Rotation über Polygon-Smart-Contracts, Kommunikation über Session. Rund 57 % der Opfer in der Region Europa und Russland.

RaaS · Hacktivismus

Stormous

Aktiv seit 2022, pro-russisch, Teil der «Five Families» und mit Dragon RaaS verbunden. Spear-Phishing, Ausnutzung exponierter VPN und RDP, Brute-Force. Politisch motivierte doppelte Erpressung.

Geschlossene Gruppe · 2024

SafePay

Seit September 2024, kein RaaS. Zugang über gültige Zugangsdaten und Edge-Geräte (VPN, Firewall, RD Gateway), ChaCha20-Verschlüsselung, Kette teils unter 24 Stunden. Ziel: KMU und MSP.

Erpressung · 2025

NightSpire

Seit März 2025 (Nachfolger von Rbfs), nutzt Fortinet CVE-2024-55591, zielt auf KMU mit Zwei-Tage-Fristen. Exfiltration über Rclone und MEGA, dann Verschlüsselung AES-256 mit RSA-2048.

Doppelte Erpressung · 2024

Space Bears

Seit 2024, an die Phobos-Infrastruktur gebunden. Leak-Site mit «Corporate»-Ästhetik. Trifft KMU aus Fertigung, Technologie und Gesundheitswesen in den USA und Europa.

RaaS · RALord-Rebrand

Nova

Rebrand (April 2025) von RALord. Rust-Encryptor, Verhandlung über qTox. Gibt an, Schulen und Non-Profits zu verschonen. Doppelte Erpressung.

Erpressung · Leak-Site

Titan

Erpressungsmarke mit Ansprüchen 2026, von Aggregatoren erfasst. Veröffentlicht Datenproben (Gehaltsabrechnungen, Dokumente). Öffentliche technische Details noch begrenzt.

Doppelte Erpressung · 2026

M3rx

2026 aufgetaucht, Go-Encryptor (X25519-Schlüsselaustausch, AES-CTR und AES-GCM), Selbstlöschung über PowerShell. Erste Opfer vor allem in IT und MSP, Kontakt über Tox.

RaaS · seit 2019

MedusaLocker

Seit 2019 von Affiliates eingesetzt (nicht zu verwechseln mit «Medusa» von 2021). Zugang über RDP-Brute-Force und gestohlene Zugangsdaten, Verbreitung über RDP, PsExec, SMB. Doppelte Erpressung.

Erpressung · seit 2020

Everest

Seit 2020, Übergang von der Verschlüsselung zur reinen Exfiltration und zum Access-Brokering. Über 120 Opfer im Gesundheitswesen, mit eigenen Warnungen in den USA.

Geschlossene Gruppe · 2025

PayoutsKing

Seit Juli 2025, eigener RSA-mit-AES-256-Encryptor und starke Anti-Analyse (Hashing von APIs und Strings, direkte Syscalls). Phishing als Erstzugang, rund 100 beanspruchte Opfer.

Erpressung · 2025

Coinbase Cartel

Seit September 2025 (keine Verbindung zur Coinbase-Börse), reine Exfiltration. Zugang über von Infostealern gestohlene Zugangsdaten, gestaffelte Leaks und Auktionen. Über 160 beanspruchte Opfer.

RaaS · 2024

Anubis

Seit Dezember 2024, verbindet doppelte Erpressung mit einem zerstörerischen «Wipe»-Modus (seltener Fall von Encryptor plus Wiper). Spear-Phishing, flexible Affiliate-Splits (80/20, 60/40, 50/50).

Erpressung · 2025

NetRunner

Seit 2025, trifft Gesundheitswesen, Telekommunikation und Fertigung (Japan, Italien, USA, Jordanien). 100-Millionen-Lösegeld von einem japanischen Krankenhaus gefordert. RaaS- oder geschlossene Struktur unbestätigt.

IAB und Erpressung · 2026

ALP-001

Früher «Alpha/DGJT», Leak-Site aktiv seit 2026. Monetarisiert Zugang zu exponierten Perimeter-Geräten (Fortinet, Cisco, Citrix, Palo Alto). Viele Ansprüche nicht verifizierbar.

RaaS · 2025

Tengu

Seit Oktober 2025 (später 2026 in «Shisa» umbenannt). Missbrauch gültiger Konten über RDP und VPN ohne MFA, intermittierende Verschlüsselung für Tempo. Leak-Site mit Countdown, rund 50 Opfer.

Doppelte Erpressung · 2026

Payload

Seit 2026, von Babuk abgeleiteter Code, plattformübergreifend Windows und ESXi. 12 Opfer beim Start in sieben Ländern beansprucht. Öffentliche Details noch begrenzt.

Erpressung · 2026

Lamashtu

Neuer Akteur 2026 aufgetaucht, kleine Leak-Site (Energie, Pharma) zwischen Frankreich, Rumänien und Thailand. Natur als verschlüsselnde Ransomware noch nicht bestätigt.

RaaS · 2026

Vect

Rekrutiert seit Ende 2025, C++-Multi-OS-Malware (Windows, Linux, ESXi). Bekannter kritischer Fehler: Dateien über 128 KB werden zerstört statt verschlüsselt. Verbindungen zu BreachForums und TeamPCP.

Relevante Abstammung und Rebrands: World Leaks ist der Rebrand von Hunters International, INC Ransom gilt als Ursprung von Lynx, Nova ist der Rebrand von RALord, Tengu wurde zu «Shisa», DragonForce übernahm die Affiliates von RansomHub.

FAQ · Ransomware-Gruppen

Die Fragen vor dem Triage.

Welche Ransomware-Gruppen sind heute am aktivsten?

Zu den aktivsten gegen Europa: LockBit 5.0, Akira, Qilin, DragonForce, INC Ransom, SafePay, Anubis, Medusa sowie die vielen 2025 und 2026 aufgetauchten Gruppen (TheGentlemen, NightSpire, PayoutsKing, Coinbase Cartel, Tengu, Vect). Ihre TTPs sind in die Detection-Regeln des SOC integriert.

Was bedeuten doppelte und dreifache Erpressung?

Doppelte Erpressung: Daten werden zuerst exfiltriert und dann verschlüsselt, sodass die Wiederherstellung aus dem Backup die Veröffentlichung nicht verhindert. Dreifache Erpressung: ein dritter Hebel kommt hinzu (DDoS, direkter Kontakt zu Kunden oder Mitarbeitern, Meldung an die Aufsichtsbehörde). Mehrere neuere Gruppen verzichten ganz auf Verschlüsselung.

Wie verfolgt Fortgale diese Gruppen?

Durch die Kombination von feldbeobachteten TTPs aus Vorfällen, der Überwachung von Leak-Sites und C2-Infrastruktur sowie Threat-Intelligence-Feeds. Wenn wir auf einen Vorfall reagieren, wissen wir bereits, wer der Angreifer ist und wie er vorgeht, wir improvisieren nicht.

Den Gegner zu kennen ist der erste Akt der Verteidigung. Ihn rechtzeitig zu stoppen ist der zweite. Kennen · Antizipieren · Stoppen.

Threat Briefing zu Ihrer Branche

Wissen Sie, welche dieser Gruppen Ihre Branche beobachten?

Ein Fortgale Threat Briefing fokussiert die Ransomware-Gruppen, die gegen Ihre Branche aktiv sind, und Ihre Expositionen: exponierte Zugänge, ungepatchte CVEs, bereits zum Verkauf stehende Zugangsdaten. Sprechen Sie mit unseren Analysten.

Antwortzeit: < 1 Werktag.