Ransomware-Gruppen: Wer steckt hinter den Angriffen auf deutsche Unternehmen?
Wenn auf Ihrem Bildschirm plötzlich eine Nachricht wie "Your files have been encrypted" oder "All your important documents, photos, databases and other important files have been encrypted" erscheint, steckt dahinter fast immer eine organisierte Cybercrime-Gruppe. Diese Gruppen operieren wie Unternehmen: mit Entwicklern, Verhandlungsführern, Infrastruktur und einem ausgefeilten Geschäftsmodell.
Stand: März 2026 (dieser Artikel wird regelmäßig aktualisiert).
Lesen Sie nicht weiter – rufen Sie jetzt an: 0800 - 292 37 24 (24/7 erreichbar). Je schneller ein Incident-Response-Team eingebunden wird, desto höher die Chancen auf Datenrettung und Schadensbegrenzung.
Für betroffene Unternehmen ist es entscheidend zu wissen, mit wem sie es zu tun haben. Die Ransomware-Variante bestimmt maßgeblich die Erfolgsaussichten bei der Datenwiederherstellung, die Verhandlungsstrategie und die forensische Aufarbeitung.
Schnellübersicht: Die 12 wichtigsten Ransomware-Gruppen
| Gruppe | Aktiv seit | Status 2025 | Hauptmethode | Entschlüsselung möglich? |
|---|---|---|---|---|
| LockBit | 2019 | Geschwächt | RaaS, RDP/VPN | Teilweise (nach Op. Cronos) |
| BlackCat/ALPHV | 2021 | Aufgelöst | RaaS, Rust-basiert | Teilweise (FBI-Tool) |
| Cl0p | 2019 | Hochaktiv | Zero-Day-Massenangriffe | Selten (meist nur Datendiebstahl) |
| Conti | 2020 | Aufgelöst | RaaS, Emotet/TrickBot | Ja (Quellcode geleakt) |
| REvil | 2019 | Aufgelöst | Supply-Chain | Teilweise |
| Black Basta | 2022 | Aktiv (Leaks) | Geschlossenes RaaS | Ältere Varianten |
| Royal/BlackSuit | 2022 | Aktiv | Callback-Phishing | Nein |
| Akira | 2023 | Stark wachsend | VPN-Schwachstellen | Nur frühe Varianten |
| Play | 2022 | Hochaktiv | FortiOS/Exchange | Nein |
| Rhysida | 2023 | Aktiv | Phishing, Zerologon | Teilweise (KISA-Tool) |
| Medusa | 2021 | Stark wachsend | RDP, Phishing | Nein |
| 8Base | 2022 | Geschwächt | Phobos-basiert | Teilweise |
LockBit (2.0, 3.0, Green)
Cyberangriff? Jetzt Soforthilfe erhalten.
24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.
Aktiv seit: 2019 (als LockBit 1.0), massive Verbreitung ab 2021 (LockBit 2.0)
LockBit war über Jahre die weltweit aktivste Ransomware-Gruppe und operierte als Ransomware-as-a-Service (RaaS). Das bedeutet: Die Kernentwickler stellen die Schadsoftware bereit, während sogenannte Affiliates die eigentlichen Angriffe durchführen und die Erlöse geteilt werden.
Bekannte Angriffe:
- Continental AG (2022): Diebstahl von 40 TB Daten, 50 Millionen US-Dollar Lösegeldforderung
- Royal Mail UK (2023): Internationaler Postversand wochenlang gestört
- Boeing (2023): Datenveröffentlichung nach gescheiterter Verhandlung
- Zahlreiche deutsche Mittelständler, Kanzleien und Kommunen
- LockBit 4.0 (2025): Trotz Zerschlagung tauchten vereinzelt neue Varianten auf, die auf den geleakten Builder zurückgreifen – teils von unabhängigen Akteuren ohne Verbindung zur Originalgruppe
"All your important files are encrypted! Any attempts to restore your files with the third-party software will be fatal for your files. To decrypt your files, you need to buy a special decryptor. Do not rename encrypted files." — Typische LockBit Ransom Note (
Restore-My-Files.txt)
Verschlüsselte Dateien tragen Endungen wie .lockbit, .Lock oder bei LockBit 3.0 eine zufällige Zeichenfolge.
Technische Vorgehensweise: LockBit nutzt häufig kompromittierte RDP-Zugänge und VPN-Schwachstellen als initialen Angriffsvektor. Die Verschlüsselung erfolgt extrem schnell durch multithreaded AES-Verschlüsselung. LockBit 3.0 (auch LockBit Black genannt) enthält Anti-Analyse-Funktionen und kann sich selbst löschen.
Entschlüsselungschancen: Im Februar 2024 gelang den Strafverfolgungsbehörden in der Operation Cronos ein erheblicher Schlag gegen LockBit. Server wurden beschlagnahmt und Entschlüsselungstools veröffentlicht. Der mutmaßliche Kopf der Gruppe wurde im Mai 2024 identifiziert.
Status: Stark geschwächt. Vereinzelte Aktivitäten unter dem Namen LockBit 4.0, jedoch mit deutlich reduzierter Reichweite.
BlackCat / ALPHV
Aktiv seit: November 2021
BlackCat, auch als ALPHV bekannt, war eine der technisch fortschrittlichsten Ransomware-Gruppen. Die Schadsoftware wurde in Rust programmiert, was eine plattformübergreifende Verschlüsselung (Windows und Linux) ermöglichte und die Analyse erschwerte.
Bekannte Angriffe:
- Change Healthcare (USA, 2024): Einer der schwerwiegendsten Angriffe auf das US-Gesundheitssystem
- MGM Resorts (2023): Casino- und Hotelbetrieb in Las Vegas lahmgelegt
- Motel One (2023): Diebstahl von Kundendaten der Hotelkette
- Mehrere deutsche Unternehmen im Gesundheits- und Finanzsektor
">> What happened? Important files on your network have been ENCRYPTED and now have the extension [...]. In order to recover your files you need to follow the instructions below." — Typische BlackCat/ALPHV Ransom Note
BlackCat betrieb eine eigene Leak-Site und drohte zusätzlich mit DDoS-Angriffen gegen Opfer, die nicht zahlten (Triple Extortion).
Technische Vorgehensweise: Hochgradig anpassbare Verschlüsselung. Affiliates konnten Parameter individuell konfigurieren. Der initiale Zugang erfolgte häufig über gestohlene Zugangsdaten, ungepatchte Exchange-Server oder Social Engineering.
Im Dezember 2023 beschlagnahmte das FBI BlackCat-Infrastruktur. Die Gruppe versuchte ein Comeback, führte im März 2024 jedoch einen Exit Scam durch: Nach dem Erhalt von 22 Millionen US-Dollar Lösegeld von Change Healthcare verschwanden die Betreiber mit dem Geld und ließen ihre Affiliates ohne Auszahlung zurück.
Status: Aufgelöst (Exit Scam März 2024). Ehemalige Affiliates sind vermutlich zu anderen Gruppen gewechselt.
Cl0p (TA505)
Aktiv seit: 2019
Cl0p hat sich auf die massenhafte Ausnutzung von Zero-Day-Schwachstellen in Dateitransfer-Software spezialisiert. Statt einzelne Netzwerke zu infiltrieren, kompromittiert Cl0p hunderte Organisationen gleichzeitig über eine einzige Schwachstelle.
Bekannte Angriffe:
| Kampagne | Jahr | Betroffene |
|---|---|---|
| Accellion FTA | 2021 | Zahlreiche Unternehmen und Behörden |
| GoAnywhere MFT | 2023 | Über 130 Organisationen |
| MOVEit Transfer | 2023 | Über 2.500 Organisationen (Shell, BBC, Ernst & Young) |
| Cleo (Harmony, VLTrader, LexiCom) | 2024/2025 | Hunderte Unternehmen, auch deutsche Logistik- und Handelsunternehmen |
"Dear Company, This is an automated notification from the CL0P hacking group. We have downloaded your data. If you don't contact us within the specified timeframe, we will begin posting it." — Typische Cl0p-Benachrichtigung
Cl0p verzichtet in vielen Fällen auf Verschlüsselung und setzt ausschließlich auf Datendiebstahl und die Drohung der Veröffentlichung (Extortion only).
Technische Vorgehensweise: Cl0p sucht systematisch nach Zero-Day-Schwachstellen in weit verbreiteter Enterprise-Software, insbesondere Managed File Transfer (MFT) Lösungen. Die Gruppe nutzt diese in koordinierten Massenangriffen aus.
Entschlüsselung: Da Cl0p häufig keine Verschlüsselung einsetzt, sondern Daten stiehlt, drehen sich Verhandlungen um die Verhinderung der Datenveröffentlichung. Forderungen sind typischerweise siebenstellig.
Status: Weiterhin hochaktiv. Die Cleo-Kampagne Ende 2024/Anfang 2025 bestätigt das Erfolgsmodell.
Conti
Aktiv seit: 2020 bis Mai 2022
Conti war zeitweise die umsatzstärkste Ransomware-Gruppe und operierte wie ein professionelles Unternehmen mit festen Gehältern, Abteilungen und internen Schulungen.
Bekannte Angriffe:
- Costa Rica (2022): Nationaler Notstand ausgerufen nach Angriff auf Regierungssysteme
- Irisches Gesundheitssystem HSE (2021): Wochenlanger Ausfall der gesamten IT-Infrastruktur
- Zahlreiche deutsche Unternehmen und Kommunen
"All of your files are currently encrypted by CONTI ransomware. If you try to use any additional recovery software – the files might be damaged. You should contact us within the next 3 days." — Typische Conti Ransom Note
Technische Vorgehensweise: Cobalt Strike, Emotet und TrickBot als Einstiegsvektoren. Extrem schnelle Verschlüsselung und systematisches Lateral Movement.
Historische Bedeutung: Im Februar 2022 leakte ein ukrainischer Sicherheitsforscher interne Chat-Protokolle (Conti Leaks). Der Quellcode wurde veröffentlicht und diente als Grundlage für zahlreiche Nachfolge-Gruppen: Royal, Black Basta, BlackByte und Karakurt.
Status: Aufgelöst (Mai 2022). Der geleakte Quellcode lebt in Nachfolge-Gruppen weiter.
REvil / Sodinokibi
Aktiv seit: 2019 bis 2022
REvil war bekannt für spektakuläre Angriffe und enorme Lösegeldforderungen. Die Gruppe war Vorreiter bei Double Extortion und betrieb die Leak-Site "Happy Blog".
Bekannte Angriffe:
- Kaseya VSA (2021): Supply-Chain-Angriff, bis zu 1.500 Unternehmen weltweit betroffen
- JBS Foods (2021): Weltgrößter Fleischproduzent, 11 Millionen US-Dollar gezahlt
- Acer (2021): 50 Millionen US-Dollar Forderung
- Medatixx (2021): Praxissoftware-Anbieter, tausende Arztpraxen in Deutschland betroffen
"All your files, documents, photos, databases and other important files are encrypted. The only method of recovering files is to purchase a unique private key. Only we can give you this key." — Typische REvil Ransom Note (
[extension]-readme.txt)
Status: Aufgelöst nach FBI-Übernahme der Infrastruktur (Oktober 2021) und Verhaftungen in Russland (Januar 2022). Für einige Varianten existieren Entschlüsselungstools.
Black Basta
Aktiv seit: April 2022
Black Basta entstand aus dem Umfeld der aufgelösten Conti-Gruppe und betreibt ein geschlossenes RaaS-Modell mit sorgfältig ausgewählten Affiliates.
Bekannte Angriffe:
- Südwestfalen-IT (2023): Über 70 Kommunen in NRW wochenlang ohne IT-Systeme
- ABB (2023): Schweizer Technologiekonzern, Betriebsunterbrechungen
- Rheinmetall (2023): Daten im Darknet veröffentlicht
- Deutsche Bibliotheksverbünde und Gesundheitseinrichtungen
"Your company has been compromised. All files on your network have been encrypted with a military grade encryption algorithm. Do not try to decrypt your files. Without our decryption software, it's impossible." — Typische Black Basta Ransom Note (
readme.txt, verweist auf .onion-Adresse)
Technische Vorgehensweise: QakBot, Cobalt Strike und SystemBC für initialen Zugang. Zwischen Erstzugang und Verschlüsselung vergehen oft weniger als 48 Stunden. Systematische Datenexfiltration vor der Verschlüsselung (Double Extortion).
Im Februar 2025 wurden interne Chat-Protokolle der Gruppe geleakt – vergleichbar mit den Conti Leaks 2022. Die Protokolle liefern detaillierte Einblicke in Verhandlungstaktiken, interne Konflikte und die Zahlungsabwicklung. Einzelne Affiliates haben die Gruppe daraufhin verlassen.
Entschlüsselung: Für einige ältere Varianten existieren Entschlüsselungstools. Forderungen: 500.000 bis mehrere Millionen US-Dollar.
Status: Trotz der Leaks 2025 weiterhin aktiv, allerdings mit internen Spannungen.
Royal / BlackSuit
Aktiv seit: September 2022 (Royal), Rebranding zu BlackSuit ab 2023
Royal wurde von ehemaligen Conti-Mitgliedern gegründet und operierte ohne Affiliate-Programm – ein kleines, aber hochqualifiziertes Team.
Bekannte Angriffe:
- Stadt Dallas (2023): Polizei- und Feuerwehrsysteme wochenlang gestört
- Silverstein Properties (2023): Großer US-Immobilienkonzern
- Europäische Fertigungsunternehmen und kommunale Einrichtungen
"If you're reading this, it means that your system were hit by Royal." "If you are reading this, it means that your system were hit by BlackSuit ransomware." — Ransom Notes beider Varianten
Technische Vorgehensweise: Callback-Phishing (gefälschte Abo-Kündigungen), kompromittierte Google Ads, Intermittent Encryption für maximale Geschwindigkeit.
Status: Aktiv als BlackSuit. Forderungen: 1 bis 11 Millionen US-Dollar. Keine öffentlichen Entschlüsselungstools.
Akira
Aktiv seit: März 2023
Akira fällt durch ein retro-gestaltetes Darknet-Portal im Stil der 1980er-Jahre auf und hat technische Verbindungen zum Conti-Ökosystem. Die Gruppe gehört 2025 zu den am schnellsten wachsenden Bedrohungen.
Bekannte Angriffe:
- Zahlreiche Angriffe auf den deutschen Mittelstand (Fertigungsunternehmen)
- Südwestfälische Industrie- und Handelskammer (2023)
- Tietoevry, Schweden (Januar 2024): Cloud-Hosting, schwedische Behörden betroffen
- Cisco VPN-Kunden (Massenausnutzung ungepatchter Systeme)
- Fortgesetzte Angriffe auf europäischen Mittelstand (2025) über VPN-Zugänge ohne MFA
"Hi friend, whatever who you are and what your title is, if you're reading this it means your company's internal infrastructure is fully or partially dead [...] We have already uploaded a bunch of your data to our servers." — Typische Akira Ransom Note (betont informeller Tonfall)
Technische Vorgehensweise: Bevorzugt Schwachstellen in Cisco VPN-Produkten (CVE-2023-20269) und kompromittierte VPN-Zugangsdaten ohne MFA. Verschlüsselt Windows und Linux (inkl. VMware ESXi).
| Merkmal | Detail |
|---|---|
| Dateiendung | .akira |
| Entschlüsselung | Nur frühe Varianten (Avast-Tool, Juli 2023) |
| Forderungen | 200.000 – 4 Mio. USD |
| FBI-Statistik 2025 | 250+ Opfer, 42+ Mio. USD erpresst |
Status: Aktiv und stark wachsend.
Play (PlayCrypt)
Aktiv seit: Juni 2022
Play hat sich auf Angriffe gegen Behörden, kommunale Einrichtungen und Mittelstand spezialisiert. Die Gruppe gehört laut FBI und CISA zu den drei aktivsten Ransomware-Gruppen weltweit.
Bekannte Angriffe:
- Stadt Oakland, Kalifornien (2023): Notstand ausgerufen
- Rackspace Technology (2022): Cloud-Hosting, Exchange-Dienste betroffen
- Schweizer Medienkonzern CH Media (2023)
- Krispy Kreme (USA, Ende 2024): Online-Bestellsystem lahmgelegt
- Fortgesetzte Kampagnen gegen europäische Fertigungsunternehmen und Behörden (2025)
"PLAY. Your data has been stolen and encrypted. If you don't contact us your data will be published on our TOR website." — Minimalistischste Ransom Note aller großen Gruppen (
ReadMe.txt, Dateierweiterung.play)
Technische Vorgehensweise: FortiOS-Schwachstellen, Microsoft Exchange (ProxyNotShell), LOLBins (Living-off-the-Land Binaries). Kommunikation ausschließlich per E-Mail – ungewöhnlich in der Szene.
Status: Hochaktiv.
Rhysida
Aktiv seit: Mai 2023
Rhysida positioniert sich zynischerweise als "Cybersecurity-Team" mit Fokus auf Gesundheitswesen, Bildungseinrichtungen und Behörden.
Bekannte Angriffe:
- British Library (2023): Katalogsysteme monatelang ausgefallen
- Prospect Medical Holdings (2023): US-Krankenhauskette, Patientenversorgung beeinträchtigt
- Chilenische Armee (2023): Militärdaten veröffentlicht
- Deutsche Kliniken und Bildungseinrichtungen
"Welcome to Rhysida! Unfortunately, your files have been stolen and encrypted. We are a cybersecurity team. We found weaknesses in your network. We can help you remove the vulnerabilities and return your files." — Rhysida Ransom Note (ironische "Hilfsangebot"-Formulierung)
Technische Vorgehensweise: Phishing, kompromittierte Zugangsdaten und Zerologon-Schwachstelle (CVE-2020-1472). Verschlüsselung mit ChaCha20 und RSA-4096.
Entschlüsselungschancen: Sicherheitsforscher der KISA (Korea Internet & Security Agency) identifizierten 2024 eine Schwachstelle im Rhysida-Verschlüsselungsalgorithmus, die eine Entschlüsselung bestimmter Varianten ermöglicht. Forderungen: 5 bis 50 BTC.
Status: Aktiv und von der CISA als erhebliche Bedrohung eingestuft.
Medusa
Aktiv seit: 2021 (verstärkte Aktivität ab 2023)
Medusa (nicht zu verwechseln mit MedusaLocker) ist bekannt für besonders hohe Lösegeldforderungen und eine besondere "Fristverlängerungsoption": Opfer können gegen Zahlung von 10.000 US-Dollar pro Tag die Veröffentlichungsfrist ihrer Daten verlängern.
Bekannte Angriffe:
- Toyota Financial Services Europe (2023): Kundendaten europäischer Niederlassungen
- Minneapolis Public Schools (2023): Sensible Schülerdaten veröffentlicht
- HCRG Care Group (UK, 2025): Britischer Gesundheitsdienstleister, sensible Patientendaten
- FBI/CISA Joint Advisory (März 2025): Gemeinsame Warnung aufgrund stark gestiegener Aktivität
"HOW TO RECOVER YOUR DATA? We have copied your important data, and if you refuse to pay, we will publish them on the internet. To recover your data, you must follow the instructions at the link." — Typische Medusa Ransom Note
Status: Hochaktiv und 2025 eine der am schnellsten wachsenden Bedrohungen. Die gemeinsame FBI/CISA-Warnung vom März 2025 unterstreicht das erhöhte Risiko.
8Base
Aktiv seit: März 2022 (verstärkte Aktivität ab Mitte 2023)
8Base positioniert sich als "ehrliche Penetrationstester" und greift bevorzugt kleinere und mittelständische Unternehmen an – typischerweise mit 50 bis 500 Mitarbeitern.
Bekannte Angriffe:
- Hunderte KMU weltweit (Schwerpunkt: 50–500 Mitarbeiter)
- Deutsche Handwerksbetriebe, Ingenieurbüros und Dienstleister
- UN Development Programme (UNDP, 2024)
"A small FAQ: What happened? Your network has been penetrated. Your files are encrypted with a strong military algorithm. The only way to recover your data is through our decryptor." — Typische 8Base Ransom Note (FAQ-Stil)
Technische Vorgehensweise: SmokeLoader für initiale Infektion, modifizierte Phobos-Ransomware für Verschlüsselung. Die Gruppe zielt bewusst auf Unternehmen mit geringerer IT-Sicherheitsausstattung ab.
Im Februar 2025 gelang Europol und dem FBI die Beschlagnahmung der 8Base-Infrastruktur. Vier Verdächtige wurden in Thailand verhaftet. Für die zugrunde liegende Phobos-Ransomware existieren in bestimmten Fällen Entschlüsselungsmöglichkeiten.
Status: Nach den Strafverfolgungsmaßnahmen im Februar 2025 stark geschwächt.
Erkennungsmerkmale: Wurde Ihr Unternehmen angegriffen?
- Dateien lassen sich nicht mehr öffnen oder tragen unbekannte Erweiterungen (
.lockbit,.play,.akira,.rhysida) - Eine Textdatei mit Zahlungsanweisungen erscheint auf dem Desktop oder in jedem Ordner
- Typische Dateinamen:
readme.txt,Restore-My-Files.txt,ReadMe.txt,HOW_TO_DECRYPT.txt,RECOVER-FILES.txt - Bildschirmhintergrund wurde geändert und zeigt eine Erpressernachricht
- Verweise auf
.onion-Websites oder Tor-Browser für die Kontaktaufnahme - Systeme werden unerwartet langsam oder Dienste fallen aus
Ransom-Note-Dateinamen nach Gruppe
| Gruppe | Dateiname | Dateierweiterung |
|---|---|---|
| LockBit | Restore-My-Files.txt |
.lockbit, .Lock, zufällig |
| BlackCat | Variiert | Zufällige Erweiterung |
| Cl0p | E-Mail-Benachrichtigung | Meist keine (nur Datendiebstahl) |
| Conti | readme.txt |
.CONTI |
| REvil | [ext]-readme.txt |
Zufällige Erweiterung |
| Black Basta | readme.txt |
.basta |
| Akira | akira_readme.txt |
.akira |
| Play | ReadMe.txt |
.play |
| Rhysida | CriticalBreachDetected.pdf |
.rhysida |
| Medusa | !!!READ_ME_MEDUSA!!!.txt |
.MEDUSA |
Was tun, wenn Ihr Unternehmen betroffen ist?
- Notfall-Hotline kontaktieren: 0800 - 292 37 24 anrufen – 24/7 erreichbar, kostenlose Ersteinschätzung
- Systeme isolieren: Netzwerkkabel ziehen, WLAN deaktivieren, aber Systeme nicht herunterfahren – flüchtige Beweise im Arbeitsspeicher sind für die Forensik entscheidend
- Nicht eigenständig verhandeln: Die Kommunikation mit Ransomware-Gruppen erfordert Erfahrung. Falsche Schritte verschlimmern die Situation
- Kein Lösegeld zahlen: Eine Zahlung garantiert weder Entschlüsselung noch verhindert sie die Veröffentlichung gestohlener Daten
- Beweise sichern: Ransom Notes fotografieren, Logfiles sichern, Zeitstempel notieren
Das Cybernotfall24-Team vereint die Kompetenzen von DATA REVERSE® (Datenrettung und IT-Forensik), aconitas® (Active-Directory-Protection und Absicherung) und Schneider & Wulf (Penetration Testing und Sicherheitsaudits), um betroffene Unternehmen schnell und strukturiert durch einen Ransomware-Vorfall zu begleiten.
Weiterführende Informationen
- Ransomware-Hilfe: Entschlüsselung und Datenrettung
- Erste Hilfe bei Cyberangriffen: Checkliste
- IT-Forensik nach einem Cyberangriff
- Compliance und Meldepflichten bei Cyberangriffen
- Notfall-Hotline: 0800 - 292 37 24 – 24/7 erreichbar
Ransomware-Gruppen entwickeln sich weiter, Ihr Schutz sollte es auch
Die Ransomware-Landschaft verändert sich kontinuierlich. 2025 zeigt: Trotz erfolgreicher Strafverfolgungsmaßnahmen gegen LockBit, BlackCat und 8Base füllen andere Gruppen die Lücken sofort. Akira, Medusa und Play sind aggressiver denn je, Black Basta kämpft mit internen Leaks, und Cl0p hat mit der Cleo-Kampagne erneut bewiesen, dass Massenangriffe über Dateitransfer-Schwachstellen ein verheerendes Geschäftsmodell bleiben.
Entscheidend ist nicht, ob Ihr Unternehmen angegriffen wird, sondern wann und wie gut Sie darauf vorbereitet sind. Wenn der Ernstfall eintritt, erreichen Sie das Cybernotfall24-Team unter 0800 - 292 37 24.
