Masked Actors Das sind die zehn gefährlichsten Cyberakteure 2025

Anbieter zum Thema

Group-IB Europe B.V.

SCHNEIDER ELECTRIC GMBH

bb-net media GmbH

JACOB Elektronik GmbH

Betreiber von Ransomware-as-a-Service, Deepfake-Verbreiter und staatliche Akteure: Group-IB enthüllt die zehn schon jetzt bedrohlichsten Cyberakteure des Jahres. Mit der Rangliste will Group-IB Unternehmen wichtige Informationen an die Hand geben.

Group-IB veröffentlicht mit „Top 10 Masked Actors 2025“, eine Liste der aktivsten Cybercrime-Gruppen. Mit dieser Rangliste will Group-IB Unternehmen wichtige Informationen an die Hand geben, um Cyberangriffen zuvorzukommen. Folgende drei Gruppen gestalten die weltweite Bedrohungslage am stärksten.

1. Platz: Ransomhub

Seit seiner Entdeckung im Februar 2024 hat sich Ransomhub zu einer dominierenden Kraft im Bereich Ransomware entwickelt. Diese RaaS-Gruppe (Ransomware-as-a-Service) tauchte auf, nachdem ALPHV (BlackCat) verschwunden war. Ransomhub war Group-IB zufolge zwischen Februar und September 2024 für fast ein Fünftel (571) der Ransomware-Fälle weltweit verantwortlich.

Die Hauptzielsektoren sind industrielle Fertigung und das Gesundheitswesen. Bis August 2024 wurden über 200 Organisationen infiltriert, allein im September wurden 74 Opfer gemeldet. Zu den größten Opfern gehört der Laptop-Hersteller Clevo. Nach der Einführung seines Affiliate-Programms im Februar 2024 rekrutierte Ransomhub ehemalige Mitglieder der sogenannten „Scattered Spider Group“ (ehemals Conti und Revil) und bot RaaS an. Dadurch sind auch weniger versierte Cyberkriminelle in der Lage, ausgeklügelte Angriffe durchzuführen. Ransomhub präsentiert sich als eine Gruppe hilfreicher und professioneller Berater statt als Cyberkriminelle. Die Gruppe bietet außerdem „Ratschläge“ zum IT-Schutz nach Zahlung der Lösegeldsumme an.

Mittlerweile setzt Ransomhub auf doppelte Erpressungstaktiken: Die Gruppe verschlüsselt Daten und droht dann, sensible Informationen zu veröffentlichen, wenn keine Lösegelder gezahlt werden.

2. Platz: Goldfactory

Derzeit gibt es nur begrenzt öffentliche Informationen über die Gruppe Goldfactory. Im Mai 2024 wurde jedoch erstmals ein iOS-Trojaner namens „Goldpickaxe.iOS“ entdeckt. Dieser Trojaner gehört zu einer ausgeklügelten Suite von Malware für mobiles Banking. Der Trojaner sammelt Gesichtserkennungsdaten, um mit Deepfakes unbefugten Zugriff auf Bankkonten zu erlangen – eine neue Technik des monetären Diebstahls.

Die Hauptziele sind Finanzunternehmen, hauptsächlich in der Asien-Pazifik-Region (APAC), wobei den Analysten von Group-IB zufolge Hinweise auf eine starke Fokussierung auf Unternehmen in Vietnam und Thailand bestehen. Es gebe zudem Anzeichen dafür, dass Goldfactory seine Operationen über diese beiden Zielländer hinaus ausweiten würde.

3. Platz: Lazarus

Die Hackerorganisation „Lazarus“ ist als Advanced-Persistent-Threat-Gruppe (APT) bekannt. Lazurus wird mit vielen Cyberangriffen in Verbindung gebracht, hinter denen Sicherheitsforscher Nordkorea vermuten. Dazu gehören der Sony Pictures-Hack in 2014 und der Wannacry-Ransomware-Angriff in 2017. Der Name Lazarus ist vermutlich eine Anlenung an die gleichnamige Figur aus der Bibel. Sowohl die Hackergruppe als auch die biblsche Figur verschwinden und tauchen unter neuen Identitäten wieder auf, um ihrer Entdeckung zu entgehen.

Die Ziele von Lazarus reichen von Finanzinstituten bis hin zu Unterhaltungsunternehmen. Opfer sind meist jedoch große Unternehmen mit kritischer Infrastruktur, erheblichen finanziellen Vermögenswerten oder strategischen Informationen. Lazarus intensivierte 2024 die Angriffe auf Kryptowährungsdienste.

Die individuellen Identitäten der Mitglieder sind weitgehend unbekannt. Es wird angenommen, dass Lazarus unter Nordkoreas Geheimdienstbehörde „Reconnaissance General Bureau“ operiert.

(ID:50457269)