Das sind die bedrohlichsten Cyberakteure 2025

Sie heißen RandsomHub, GoldFaktory oder Lazarus und gehören zu den 10 gefürchtetsten Cybercrime-Gruppen. Ihre perfiden Methoden und Vorgehensweisen stellt der Cybersicherheitsanbieter Group-IB vor und startet eine Podcast-Serie auf Spotify.

Um Straftaten im Internet vorzubeugen und zusammen mit Ermittlungsbehörden zu bekämpfen, muss man die Hintermänner und ihre Organisationen gut kennen. Group-IB beobachtet die Bedrohungsakteure regelmäßig und stellt seine Erkenntnisse Unternehmen und Strafverfolgungsbehörden zur Verfügung. Nun hat der Sicherheitsanbieter eine Liste der "Top 10 Masked Actors vorgestellt. Mit dem Ziel, der Cyberkriminalität immer einen Schritt voraus zu sein.

Die Liste basiert auf detaillierten Analysen, Prognosen und praktischen Einblicken von über 1550 "erfolgreichen High-Tech Crime Ermittlungen", wie Group-IB mit Sitz in Singapur erläutert.

RansomHub: Diese Ransomware-as-a-Service (RaaS)-Gruppe tauchte auf, nachdem ALPHV (BlackCat) verschwunden war. Sie war zwischen Februar und September 2024 für fast ein Fünftel (571) der Ransomware-Fälle verantwortlich und entwickelte sich schnell zu einer zentralen Bedrohung für die Fertigungsindustrie und dem Gesundheitswesen.

GoldFactory – Hierbei handelt es sich um eine bösartige Schadsoftware-Gruppe für mobiles Banking, die GoldPickaxe.iOS entwickelte. Es ist der erste iOS-Trojaner, der darauf ausgelegt ist, Daten zur Gesichtserkennung abzugreifen und so Finanzbetrug durch Deepfakes zu ermöglichen.

Lazarus – Dieser von Nordkorea unterstützte staatliche Bedrohungsakteur verübte schwerwiegende Angriffe auf Finanzinstitute und Kryptowährungsplattformen. Dabei erbeutete er allein im Jahr 2024 über 1,3 Milliarden US-Dollar.

DragonForce – Die aufstrebende Hacktivisten- und Ransomware-Gruppe, die möglicherweise mit DragonForce Malaysia in Verbindung steht, weitet ihre Operationen weltweit rasant aus. Sie zielt auf Regierungen und Unternehmen in zahlreichen Industrien ab – einer ihrer lukrativsten Angriffe auf eine saudische Firma führte zum Diebstahl von 6 Terabyte Daten.

OilRig – Diese staatlich finanzierte iranische Cyberspionage-Organisation, die dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) angegliedert ist, ist seit über einem Jahrzehnt aktiv. OilRig konzentriert sich zunehmend auf raffinierte Phishing-Attacken, um Daten von Unternehmen aus den Bereichen Finanzen, Energie und Telekommunikation sowie von staatlichen Stellen zu beschaffen.

MuddyWater – Als ein weiterer staatlicher Akteur aus dem Iran, der mutmaßlich dem iranischen MOIS nahesteht, konzentriert sich MuddyWater auf Cyberspionage-Operationen gegen Länder, die mit der NATO verbündet sind. Dabei agieren sie insbesondere durch Spear-Phishing-Angriffe.

Brain Cipher – Diese neue Ransomware-as-a-Service-Gruppierung (RaaS) tauchte Mitte 2024 auf und sorgte für Schlagzeilen, als sie nach einem Angriff auf das nationale Rechenzentrum Indonesiens 8 Millionen US-Dollar Lösegeld verlangte.

Boolka – Als Vertreter einer neuen Generation von Cyberkriminellen hat sich Boolka darauf spezialisiert, Schwachstellen in Websites auszunutzen. Ihre fortschreitenden Verschleierungsmethoden sowie ihre Fähigkeit, modulare Schadsoftware einzusetzen und diese ständig anzupassen, verursachen immense finanzielle Verluste und schaden dem Image, von denen wahrscheinlich weltweit Tausende Unternehmen und Nutzer betroffen waren.

Ajina – Diese schnell wachsende mittelasiatische Cyberkriminellen-Organisation nimmt mithilfe von raffinierten Android-Schadsoftware-Kampagnen gewöhnliche Nutzer von Banking-Apps ins Visier. Group-IB analysierte über 1 400 verschiedene Malware-Samples, was eine beträchtliche Anzahl betroffener Nutzer und eine zunehmende globale Reichweite vermuten lässt.

Team TNT – Hierbei handelt es sich um die wahrscheinlich aktivsten und bösartigsten Akteure im Bereich der Kryptokriminalität. Team TNT ist bekannt für seine rücksichtslosen, auf die Cloud ausgerichteten Cryptojacking- und Brute-Force Angriffe, die auf Kubernetes-, Redis- und Docker-Umgebungen abzielen.

Um die inneren Mechanismen jeder dieser Bedrohungsgruppen zu erforschen, startet Group-IB die Podcast-Serie "Masked Actors“, die auf Spotify von Gary Ruddel und Nick Palmer moderiert werden. Gary ist Experte in Cyber Threat Intelligence, Nick ist ein sehr erfahrener Bekämpfer der Finanzkriminalität sowie Vizepräsident der Global Sales von Group-IB.

Eine detaillierte Übersicht der wichtigsten globalen Bedrohungen, der zentralen Bedrohungsakteure und ihre sich wandelnden Vorgehensweisen sind im ausführlichen Trendbericht zur High-Tech-Kriminalität 2025 verfügbar. Der Bericht liefert tiefgehende Einblicke in die Bedrohungslandschaft, die sich ständig weiterentwickelt, und rüstet Unternehmen sowie Experten in Cybersecurity mit Informationen aus, die es ihnen ermöglichen, geschützt zu bleiben.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden

Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager, Bewerbungsfrist bis 21. Mai 2025 verlängert: Jetzt bewerben – alle Infos hier