Cyberkriminelle nehmen 2025 digitale Identitäten ins Visier
Das Cyberjahr 2025 steht im Zeichen gezielter Angriffe auf digitale Identitäten. Der jährliche Malware-Report von Opentext zeigt, welche sechs Akteure das Jahr besonders geprägt haben.
Das Jahr 2025 war und ist geprägt von Angriffen auf digitale Identitäten. Der "Nastiest Malware Report" von Opentext zeigt aktuelle Trends in der Cyberkriminalität und nennt die aktivsten Gruppen des Jahres.
Laut dem Bericht zielen Angreifer dieses Jahr zunehmend auf einzelne Konten statt auf ganze Netzwerke. Sie nutzten dazu künstliche Intelligenz, um digitale Identitäten zu manipulieren, Stimmen zu imitieren oder gefälschte Bewerbungen zu erstellen und so Zugang zu Konten zu erlangen, wie Opentext schreibt. Alltägliche Kommunikation werde dadurch zunehmend über Social Engineering, Deepfakes und KI-gestützte Chattools zum Angriffsziel.
Ransomware bleibt dabei ein fester Bestandteil des Cybercrime-Markts, habe sich aber verändert. Statt Systeme zu verschlüsseln, stehlen Angreifer häufiger Daten und setzen Unternehmen mit deren Veröffentlichung unter Druck. Die Zahl der Angriffe bleibt hoch - und die Methoden werden raffinierter.
Folgende sechs Akteure haben laut Opentext das Jahr 2025 besonders geprägt:
1. Qilin
Qilin sei dieses Jahr bereits für über 200 Angriffe auf Spitäler, Labore und öffentliche Einrichtungen verantwortlich. In einem Fall hat der Ausfall von Diagnosediensten laut Opentext nachweislich zum Tod eines Patienten geführt. Dies unterstreicht die Wichtigkeit von Cybersicherheit in Gesundheitseinrichtungen - weshalb diese aber oft auf der Strecke bleibt, lesen Sie hier. Auffällig sei zudem ein Kontroll-Panel-Feature, über das Partner direkt mit einem von Qilin gestellten Verhandlungsberater chatten konnten. Ziel war es, wie es weiter heisst, Erpressungen zu standardisieren und auch unerfahrenen Tätern professionelle Unterstützung zu bieten.
2. Akira
Die Ransomware-Gruppe Akira habe sich insbesondere auf finanzstarke Unternehmen und Managed Service Provider (MSP) fokussiert. Zudem sei Akira weltweit für fast jede fünfte dokumentierte Ransomware-Attacke verantwortlich. Mit Rabattaktionen und definierten Regeln will die Gruppe laut Bericht Verlässlichkeit signalisieren. Akira hat es übrigens auch vermehrt auf Schweizer Unternehmen abgesehen, wie Sie hier lesen können.
3. Scattered Spider
Mittels Social Engineering, SIM-Swapping und Deepfake-Imitationen habe die Gruppe 2025 Grossunternehmen kompromittiert und modernste Identitäts- und Zugriffssysteme umgangen. Scattered Spider kombiniere technische Raffinesse, psychologische Manipulation und gezielten Identitätsmissbrauch.
4. Play
Die Ransomware-Gruppe Play soll über 900 MSPs angegriffen und ganze Kundenumgebungen kompromittiert haben. Typisch für die Gruppe sei die intermittierende Verschlüsselung, wobei nur Teile von Dateien verschlüsselt werden. Das mache Angriffe schneller und schwerer zu erkennen, schreibt Opentext. Zudem setzte Play auf eigene Schadsoftware und habe ihr Toolkit um Werkzeuge für virtuelle Umgebungen wie Linux und ESXi erweitert.
5. Shinyhunters
Shinyhunters dringt in Cloud-Plattformen ein, bleibt oft monatelang unentdeckt und veröffentlicht laut Bericht gestohlene Daten erst, wenn sie Profit versprechen. Betroffen im Jahr 2025 waren unter anderem Google sowie Salesforce mit einem Datenabfluss aus dem Salesforce-CRM und anderen gestohlenen Salesforce-Datensätzen, die teils im Netz gelandet sind. Die Gruppe nutzte zudem gezielt regulatorische Vorgaben aus und veröffentlichte laut Report in Europa Daten häufig zeitgleich mit DSGVO-Meldungen, um den Druck auf Unternehmen zu erhöhen.
6. Lumma Stealer
Die Malware stiehlt gemäss Mitteilung Zugangsdaten, Cookies und Tokens, die auf Darknet-Marktplätzen landen und Ransomware-Gruppen wie Qilin, Akira, oder Play als Einstieg für gezielte Angriffe dienen. Über gefälschte Captcha-Hinweise oder Fehlermeldungen locke Lumma Stealer Nutzer zur Ausführung schädlicher Befehle und umgehe gängige Schutzmechanismen.
Prävention - das A und O
Trotz verbesserter Sicherheitsmassnahmen und mehr Unternehmen, die Lösegeldzahlungen ablehnen, bleibe Ransomware profitabel. Forderungen und Zahlungen bewegen sich laut Opentext weiterhin auf hohem Niveau, die Gesamtschäden steigen. Professionelle Gruppen verhandeln zudem gezielt und erzielen dabei hohe Summen, wie es weiter heisst.
Für Organisationen bleibt Prävention demnach zentral: Regelmässige Updates, funktionierende Backups, robuste Zugangskontrollen und Schulungen zum Umgang mit Social Engineering. Wer diese Grundlagen konsequent umsetze, stärke seine Widerstandsfähigkeit gegen Angriffe, appelliert Opentext.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Schweizer Firmen investieren mehr in Cybersecurity - aber noch nicht genug
Digitale Gesellschaft fordert Ende der Abhängigkeit von ausländischen Tech-Giganten
Wie moderne Security-Ansätze Ransomware-Angriffe verhindern
Überraschung! Das meistgenutzte Passwort 2025 ist … 123456
Wenn der Pilot der Billigairline eine ehrliche Durchsage macht
Strafverfolger loten den Einsatz neuer Technologien aus
App-Showdown mit Fotofinish und ein Gewinner-Quartett
Was die Schweizer IT-Bedrohungslandschaft im Oktober geprägt hat
Update: Zürcher Stimmvolk entscheidet über Recht auf digitale Integrität
