Barracuda full logo

Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer

Themen:
5. Sept.. 2025
|
Christine Barry

Im Laufe des Jahres haben wir Ransomware-Angriffe, Datenexfiltration und heimliche staatlich geförderte Spionage beobachtet. Dies sind einige der bedeutendsten Bedrohungen, die im August 2025 stark zugenommen haben.

Qilin-Ransomware-Gruppe (auch bekannt als „Agenda“)

Qilin ist eine Ransomware-as-a-Service (RaaS)-Operation, die wir im Juli profiliert haben. Dieser osteuropäische Bedrohungsakteur ist zu einer der aktivsten und schädlichsten Ransomware-Gruppen der Welt geworden. Erstmals Mitte 2022 als „Agenda“ beobachtet, wurde die Gruppe im September 2022 vollständig in Qilin umbenannt. Sie arbeitet mit Partnern zusammen, die ihre Ransomware in den Netzwerken der Opfer einsetzen; im Gegenzug betreiben die Qilin-Administratoren die Datenleck-Websites und führen die Verhandlungen, Zahlungen und Gewinnbeteiligungsvereinbarungen. Laut FalconFeeds Bedrohungsinformationen erreichte Qilins Aktivität im Jahr 2025 im Juni ihren Höhepunkt und forderte im August 93 Opfer. Die Zahlen der August-Studie von Comparitech weichen leicht ab: sie schreibt der Gruppe nur 86 Angriffe zu.

Die Qilin-Ransomware-Payload kann sowohl Windows- als auch Linux/VMware ESXi-Systeme verschlüsseln, wodurch Qilin auf eine Vielzahl von Unternehmensressourcen abzielen kann. Während der Ausführung löscht sie Backups/Schattenkopien, verschlüsselt die Zieldateien und benennt verschlüsselte Dateien mit einer Erweiterung wie .qilin um. Die Ransomware exfiltriert sensible Daten vor der Verschlüsselung, und die Gruppe droht damit, sie zu veröffentlichen, wenn die Lösegeldforderungen nicht erfüllt werden.

Qilin greift weiterhin hochwertige Sektoren wie das Gesundheitswesen, die Automobilindustrie und die Fertigung an. Ihr RaaS-System und ihre Angriffstools entwickeln sich weiter, und die Gruppe hat im September an Dynamik gewonnen.

Wichtige Abwehrmaßnahmen gegen Angriffe im Stil von Qilin:

  • Segmentieren Sie IT- und OT-Netzwerke, um industrielle Steuerungssysteme Ressourcen mit Internetzugang zu isolieren. Erwägen Sie die Verwendung des Purdue-Modells als Leitfaden.
  • Überwachen Sie ungewöhnliche Datenexfiltrationsmuster und große ausgehende Übertragungen – Qilin stiehlt häufig Daten vor der Verschlüsselung.
  • Deaktivieren Sie PowerShell und Scripting-Tools, wenn möglich. Stellen Sie sicher, dass die verwendeten Systemdienstprogramme und -tools sichtbar sind und streng kontrolliert werden.
  • Verwenden Sie Honeypots und andere Abwehrtaktiken, um laterale Bewegungen und Vorbereitungsschritte für Ransomware zu erkennen.

Akira-Ransomware-Gruppe

Die Akira RaaS-Gruppe zählt seit ihrer Gründung zu den aktivsten Ransomware-Operationen und rangiert konstant unter den Top 3–5 Bedrohungsakteuren nach der Anzahl der Opfer. Was Akira von anderen unterscheidet, ist die Kombination aus hohem operativen Tempo – sie greift Hunderte von Organisationen innerhalb kurzer Zeit an – und den hohen Lösegeldforderungen im zweistelligen oder sogar dreistelligen Millionen-USD-Bereich. Die Marke Akira ist an ihrer Leak-Seite im Retro-Stil und der Dateiendung „.akira“-bei verschlüsselten Dateien erkennbar.

Akira-Angriffe beginnen oft damit, bekannte Schwachstellen in VPNs oder anderen öffentlich zugänglichen Anwendungen auszunutzen, vor allem, wenn die Multifaktor-Authentifizierung (MFA) nicht durchgesetzt wird. Akira verwendet außerdem Phishing-E-Mails mit bösartigen Anhängen oder Links, um Malware-Loader in den Netzwerken der Opfer zu installieren. Sobald Akira in einem Netzwerk ist, folgt sie einer typischen Angriffskette für doppelte Erpressung. Im Gegensatz zu manchen kriminellen Gruppen macht Akira keine Ausnahmen für medizinische Einrichtungen, Regierungsbehörden oder Schulbezirke. Die Gruppe forderte im August 60 Opfer.   

Akira stellte im August eine erhebliche Bedrohung für Managed Service Provider dar und verbessert weiterhin ihre Angriffs-Tools und -Methoden. Die Gruppe bleibt auch im September von Bedeutung, da sie Exploits einsetzt und die Möglichkeiten nutzt, die durch ungepatchte und veraltete Systeme entstehen. Akira hielt im zweiten Quartal 2025 rund 19 % des „Ransomware-Marktanteils“.

Wichtige Abwehrmaßnahmen gegen Angriffe im Stil von Akira:

Lazarus-Gruppe

Die Lazarus-Gruppe, auch bekannt als APT38, Hidden Cobra und unter anderen Decknamen, soll innerhalb der Regierung der Demokratischen Volksrepublik Korea (DVRK), allgemein als Nordkorea bekannt, operieren. Die Gruppe ist bekannt für den Sony Pictures-Hack im Jahr 2014 und die WannaCry-Ransomware-Kampagne im Jahr 2017. Über mehr als ein Jahrzehnt hat Lazarus weltweit Banksysteme, Regierungsnetzwerke und Kryptowährungsbörsen ins Visier genommen und dabei fortschrittliche Malware und Social-Engineering-Taktiken sowohl für finanzielle Gewinne als auch für politische Ziele eingesetzt. Die Gruppe hat durch Cyberangriffe mehr Geld gestohlen als jeder andere Bedrohungsakteur in der Geschichte, auch dank der Milliarden, die von der Bybit-Börse und der Bangladesh Bank entwendet wurden.

Im August 2025 stellte die Lazarus-Gruppe PyLangGhost vor, einen Python-basierten Fernzugriffs-Trojaner (RAT), den Angreifer in gefälschten Vorstellungsgesprächen oder Geschäftsanrufen verwenden. Die Malware präsentiert irreführende Fehlermeldungen, die die Opfer dazu verleiten, Skripte und bösartigen Code auszuführen. Wenn diese Angriffe erfolgreich sind, gewähren sie dem Angreifer Fernzugriffsrechte. Die PyLangGhost-Malware enthält Module zur Aufklärung, für Dateivorgänge und mehrere andere Schritte in der Angriffskette. Diese neue Malware ist ein weiterer Beweis für die technische Raffinesse und Agilität der Lazarus-Gruppe.

Lazarus hat sich auf heimliche Software-Lieferketten- und Open-Source-Poisoning-Angriffe konzentriert. Zu ihren Zielen gehören Entwickler, CI/CD-Pipelines und Kryptowährungsfirmen.

Wichtige Abwehrmaßnahmen gegen Angriffe der Lazarus-Gruppe:

Lumma- und Redline-Stealer

Unsere letzten beiden Bedrohungen werden zusammen behandelt, weil sie so ähnlich sind. Lumma und RedLine sind im Jahr 2025 die mit Abstand aktivsten Infostealer-Familien. Infostealer-Malware ist darauf ausgelegt, ein System zu infiltrieren, sensible Informationen im System zu identifizieren und zu sammeln und diese Daten an einen von einem Angreifer kontrollierten Server zu übertragen. Das macht sie zum idealen Tool für Initial Access Broker (IAB), um Zugangsdaten zu stehlen und an Ransomware-Gruppen und andere Bedrohungsakteure zu verkaufen.

Laut Hudson Rock Infostealer Intelligence liegt die Zahl der Infostealer-Infektionen im August bei über 289.000. Dies ist ein Anstieg von 13 % gegenüber dem Vormonat. Andere Untersuchungen zeigen, dass etwa ein Drittel aller Ransomware-Opfer innerhalb von 16 Wochen vor dem Angriff mindestens eine Infostealer-Infektion entdeckt hat.  

Die meisten Infostealer sind mit Ransomware-Gruppen und Cyberkriminellen-Ökosystemen verbunden, aber einige staatliche Akteure haben kürzlich Infostealer zu ihrem Arsenal hinzugefügt. Hudson Rock hat „eine globale Welle kompromittierter E-Mail-Konten von Ministerien für auswärtige Angelegenheiten (MOFA)“ entdeckt, die mit Infostealern und gestohlenen Zugangsdaten in Verbindung stehen.

Die Forschung hat diese Opfer und die Auswirkungen der Angriffe detailliert beschrieben:

  • Saudi-Arabien (mofa.gov.sa): Zugangsdaten, die mit dem Außenministerium des Königreichs verbunden sind und in der Diplomatie des Nahen Ostens missbraucht werden können.
  • Südkorea (mail.mofa.go.kr): Infektionen, die Systeme des Ministeriums für auswärtige Angelegenheiten Seouls betreffen und die Verhandlungen im Indopazifik gefährden könnten.
  • Vereinigte Arabische Emirate (mofa.gov.ae): Sicherheitsvorfälle im Außenministerium von Abu Dhabi, einem der wichtigsten Akteure in der Golfdiplomatie.
  • Qatar (mofa.gov.qa): Kompromittierte Konten in Doha, die entscheidend für die Mediation von Konflikten wie Gaza sind.
  • Sonstiges: Die Erkennungen erstrecken sich über Außenministerien in Europa, Asien, Afrika und Nord- und Südamerika und deuten auf eine weit verbreitete Bedrohung hin.

Da diese nationalstaatlichen Gruppen diese Techniken übernehmen, werden Infostealer von einem gewöhnlichen Angriff zu einer geopolitischen Waffe.

Wichtige Abwehrmaßnahmen gegen Infostealer wie Lumma und Redline:

  • Setzen Sie die Browser-Isolierung durch für Nutzer mit hohem Risiko oder für diejenigen, die mit den sensibelsten Daten umgehen. Dadurch wird der Diebstahl von Cookies/Sitzungsdaten verhindert.  
  • Sperren Sie den Zugriff auf bekannte Stealer-C2-Infrastrukturen und Domains, die auf .top, .xyz und .ru, enden. Diese werden von beiden Gruppen verwendet, wobei Lumma eher auf .xyz setzt als RedLine, während RedLine auch .shop und .club verwendet. Diese Domains sind beliebt, weil sie preiswert sind und in der Regel laxe Registrierungsprüfungen haben.
  • Deaktivieren Sie das automatische Ausfüllen und Speichern von Zugangsdaten in Browsern und setzen Sie die Verwendung von Passwortmanagern mit strengen Richtlinien für die Multi-Faktor-Authentifizierung (MFA) durch.
  • Implementieren Sie Verhaltenserkennung für ungewöhnliche Dateizugriffsmuster wie „Anmeldedaten“ und „Webdaten“.

Barracuda kann helfen

Lassen Sie uns Ihnen helfen, Ihren Schutz und Ihre Cyber-Resilienz mit der BarracudaONE KI-gestützten Cybersecurity-Plattform zu maximieren. Die Plattform schützt Ihre E-Mails, Daten, Anwendungen und Netzwerke und wird durch einen 24/7 verwalteten XDR-Dienst gestärkt, der Ihre Sicherheitsmaßnahmen vereint und tiefgehende, intelligente Bedrohungserkennung und -reaktion bietet. Verwalten Sie die Security Ihres Unternehmens mit Zuversicht, indem Sie fortschrittlichen Schutz, Echtzeitanalysen und proaktive Reaktionsfähigkeiten nutzen. Robuste Berichtstools bieten klare, umsetzbare Einblicke, die Ihnen helfen, Risiken zu überwachen, den ROI zu messen und die betrieblichen Auswirkungen zu demonstrieren. Verpassen Sie nicht die Gelegenheit, eine Demo der Plattform von unseren Cybersecurity-Experten zu erhalten. 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Cyberkriminelle werden immer jünger und gefährlicher
Cyberkriminelle werden immer jünger und gefährlicher
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
 Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
 Umfrage zeigt weltweiten Rückgang der Kosten bei einer Datenpanne
Umfrage zeigt weltweiten Rückgang der Kosten bei einer Datenpanne
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.