Aktive Crime-Gruppen in Deutschland

Erläuterungen und tabellarische Übersicht
Stand: 23.10.2025

Finanziell motivierte Angreifer zielen auf verschiedensten Wegen auf Vermögenswerte von Betroffenen ab. Von Betrugsmaschen über Diebstahl bis zu Erpressungen beobachtet das BSI tagtäglich neue Angriffskampagnen. Die Erpressung mit Ransomware und Datenleaks stellt dabei nach Einschätzung des BSI gegenwärtig die größte cyberkriminelle Bedrohung für Staat, Wirtschaft und Gesellschaft dar.

In den vergangenen Jahren beobachteten das BSI wie auch nationale und internationale Partner verstärkt sogenanntes Cybercrime-as-a-Service (CCaaS). Dabei werden Bestandteile eines Cyberangriffs an jeweils spezialisierte Angreifergruppen ausgelagert, vergleichbar mit dem Outsourcing von Dienstleistungen. CCaaS erlaubt es einem Angreifer, nahezu jeden Schritt eines Angriffs als Dienstleistung von anderen Cyberkriminellen oder zumindest die dafür notwendige Schadsoftware zu beziehen. Das Bereitstellen von Schadsoftware wird dabei als Malware-as-a-Service (MaaS) bezeichnet. Auf Ransomware spezialisierte MaaS werden Ransomware-as-a-Service (RaaS) genannt.

Angreifer, die Zugänge zu Netzwerken verkaufen, heißen Access Broker und die Dienstleistung Access-as-a-Service (AaaS). Emotet und QakBot waren zwei sehr bekannte Malware-Familien, die wahrscheinlich von Access Brokern eingesetzt wurden. Access Broker zielen darauf ab, sich längerfristig Zugang zu einem Netzwerk zu verschaffen. Dafür laden sie meist über sogenannte Loader weitere Malware nach.

Cyberkriminelle Angreifer werden nach Möglichkeit anhand der eingesetzten Malware und Vorgehensweise in Gruppen zusammengefasst. Folgend werden einige Angreifergruppen hervorgehoben, von denen nach Einschätzung des BSI eine erhöhte Bedrohung für deutsche Organisationen ausgeht. Das BSI beobachtet darüber hinaus weitere Angreifergruppen, die wahrscheinlich auch gegen deutsche Organisationen aktiv sind.

Aktive Crime-Gruppen, die Ziele in Deutschland angreifen:
Gruppenname	Besondere Eigenschaften	Beschreibung
Frozen Spider (aka White Kali)	Verantwortlich für zugangsbeschränkte¹ RaaS Medusa Die Ransomware Medusa sollte nicht mit der ähnlich benannten Ransomware MedusaLocker verwechselt werden Leak-Seite bekannt	RaaS Medusa wahrscheinlich seit Ende 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt.
Graceful Spider (aka ATK103, Chimborazo, DEV-0950, Dudear, FIN11, G0092, Gold Tahoe, Hive0065, Lace Tempest, SectorJ04, Spandex Tempest, TA505, White Austaras)	Verantwortlich für GetAndGo Loader (aka Get2, FRIENDSPEAK) SDBBot FlawedGrace (aka GraceWire) Clop (aka Ciop, CIop, Cl0p, Ci0p, CI0p) Leak-Seite bekannt Angreifer missbrauchten wiederholt Zero-Day-Schwachstellen in exponierten Systemen wie File-Sharing-Server Erpressungen häufig ohne Einsatz von Ransomware nur mit gestohlenen Daten	Angreifergruppe wahrscheinlich seit 2016 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Von Ende 2019 bis 2022 regelmäßig Einsatz von Ransomware Clop. Seit 2022 regelmäßig Erpressungen nur mit Datenleaks.
Honey Spider	Verantwortlich für MaaS Shindig (aka Bumblebee) Shindig wird von verschiedenen Access Brokern verwendet. Einem Angriff mit Shindig folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS Shindig wahrscheinlich seit März 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Shindig war Ziel der Strafverfolgungsmaßnahmen in Operation Endgame. Nach Kenntnislage des BSI wird Shindig weiterentwickelt und in Angriffen gegen Systeme in Deutschland eingesetzt.
Lunar Spider (aka Gold Swathmore, White Khione)	Verantwortlich für MaaS BokBot (aka IcedID) MaaS Lotus (aka Latrodectus, BlackWidow, IceNova) Lotus wird von verschiedenen Access Brokern verwendet. Einem Angriff mit Lotus folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS BokBot war wahrscheinlich seit April 2017 bis Ende 2023 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. BokBot basiert auf Banking-Trojaner Neverquest (aka Vawtrak) BokBot war Ziel der Strafverfolgungsmaßnahmen in Operation Endgame. Die MaaS Lotus wird wahrscheinlich seit Oktober 2023 eingesetzt und aktiv weiterentwickelt.
Punk Spider (aka White Lilith)	Verantwortlich für geschlossene² RaaS Akira Leak-Seite bekannt	RaaS Akira wahrscheinlich seit März 2023 aktiv. Angriffe gegen Regierungsorganisationen ausgeschlossen - Mit Abweichungen ist zu rechnen! Kein Ausschluss von Ländern von Angriffen bekannt. Akira basiert wahrscheinlich auf dem im Februar 2022 geleakten Quellcode der inaktiven RaaS Conti.
Recess Spider (aka White Peryton)	Verantwortlich für die geschlossene² RaaS Play (aka PlayCrypt) Leak-Seite bekannt	RaaS Play wahrscheinlich seit Juni 2022 aktiv. Kein Ausschluss von Sektoren oder Ländern von Angriffen bekannt. Erpressungsverhandlungen laufen teilweise per Mail ab.
Scattered Spider (aka 0ktapus, Dev0671, Dev0875, Dev0971, Muddled Libra, Octo Tempest, Oktapus, Roasted 0ktapus, Scatter Swine, Scattered Swine, StarFraud, Storm-0875, UNC3944, White Dev 146)	Verantwortlich für MaaS BlackLotus War Affiliate der RaaS Alphv, RansomHub Wahrscheinlich Affiliate der RaaS DragonForce (Siehe White Dragon) Wiederholt Einsatz von SIM-Swapping und Social Engineering gegen Helpdesk-Mitarbeiter zur Übernahme von validen Accounts Angreifer interagiert gezielt mit Cloud-Ressourcen von Betroffenen Registriert zum Beispiel eigene Identitätsprovider, um sich als beliebigen validen Account anmelden zu können	Affiliate-Gruppe wahrscheinlich seit März 2022 aktiv. Ausschluss von Sektoren und Ländern richtet sich nach verwendeter RaaS. Wahrscheinlich seit April 2025 Affiliate bei RaaS DragonForce. In 2024 und 2025 wurden mehrere Tatverdächtige in Verbindung mit Scattered Spider festgenommen.
Traveling Spider (aka Gold Mansard, White Imp)	Verantwortlich für RaaS INC Verantwortlich für RaaS Lynx Leak-Seiten zu RaaS bekannt War verantwortlich für RaaS Nevada, RaaS Nokoyawa, RaaS Karma, RaaS Nefilim (aka Nemty X), RaaS Nemty	Angreifergruppe seit mindestens August 2019 aktiv. RaaS INC seit mindestens September 2023 aktiv. RaaS Lynx seit mindestens August 2024 aktiv. Beide RaaS werden parallel betrieben.
Vice Spider (aka White Nefas, DEV-0832, Vanilla Tempest, Vice Society)	Wahrscheinlich verantwortlich für Ransomware Rhysida Alternativ Affiliate von geschlossener² RaaS Rhysida Berichte aus viertem Quartal 2024 deuten Nutzung von neuer Ransomware InterLock an Zu beiden Ransomware-Familien sind Leak-Seiten bekannt	Affiliate-Gruppe wahrscheinlich seit April 2021 aktiv. Vice Spider nutzte über die Jahre eine Vielzahl verschiedener RaaS: DeathKitty (aka HelloKitty, Fivehands, Wacatac), Zeppelin (aka Buran), Hive, Quantum, Alphv, RedAlertLocker, LockBit Vice Spider etablierte die eigene Präsenz ursprünglich unter dem Namen Vice Society. RaaS Rhysida wahrscheinlich seit Mai 2023 aktiv. Ransomware InterLock erstmals im Oktober 2024 beobachtet. Es ist unklar, inwieweit Vice Spider die Ransomware noch einsetzt. Bei Vice Spider zugeordneten Vorfällen wurde wiederholt der Einsatz von Tools von Lunar Spider berichtet.
White Dragon (aka Slippery Scorpius)	Verantwortlich für zugangsbeschränkte¹ RaaS DragonForce Leak-Seite bekannt RaaS DragonForce bietet sich auch als Service-Modell für eigenes Ransomware-Branding an Die RaaS DragonForce bietet Affiliates u. A. einen kostenlosen Call-Service. Hiermit sind wahrscheinlich die Erpressung begleitende Telefonanrufe gemeint.	RaaS DragonForce wahrscheinlich seit August 2023 aktiv. In 2025 etablierte die Betreibergruppe ein "Cartel"-Modell bei dem Angreifergruppen die Infrastruktur der RaaS DragonForce für ihr eigenes Branding nutzen können. So basiert die Ransomware Devman wahrscheinlich auf DragonForce.
White Fenrir	Verantwortlich für zugangsbeschränkte¹ MaaS DarkGate (aka Meh, MehCrypter) Verantwortlich für Crypter-as-a-Service (CaaS) DarkGateCrypter Verantwortlich für Service DarkGate AutoIt Converter DarkGate wird von verschiedenen Access Brokern verwendet. Einem Angriff mit DarkGate folgt häufig der Diebstahl von Daten und der Einsatz von Ransomware	MaaS DarkGate wahrscheinlich seit 2017 aktiv, im Mai 2023 erstmals auf Untergrundforen beworben. Kein Ausschluss von Sektoren von Angriffen bekannt. Angriffe gegen Organisationen aus Russland und Moldawien ausgeschlossen. Ende 2023 hat die Betreibergruppe zum einem geschlossenen² Betriebsmodus gewechselt. Zuvor wurde die MaaS bis zu 30 Affiliates angeboten. Im November 2024 wurde DarkGate wieder als zugangsbeschränkte¹ MaaS angeboten
White Kore	Verantwortlich für RaaS Qilin (aka AgendaCrypt, Agenda) Leak-Seite bekannt Angreifer weisen starken Fokus auf Gesundheitssektor auf.	RaaS Qilin wahrscheinlich seit August 2022 aktiv. Samples wurden zeitweise mit Dateinamen `Agenda` verteilt, daher auch als Agenda bekannt. Mutmaßlicher Rebrand zu MichaelKors im April 2023 wurde nicht abschließend vollzogen.
White Veles (aka DEV-0504, Velvet Tempest)	Verantwortlich für ExMatter (aka Sender2) Eher wahrscheinlich verantwortlich für Ransomware Termite	Affiliate-Gruppe wahrscheinlich seit August 2021 aktiv. Ausschluss von Sektoren und Ländern richtet sich nach verwendeter RaaS. War auch Affiliate bei RaaS LockBit, RaaS BlackMatter, RaaS Alphv und RaaS Conti. Mehrere Vorfälle mit der Ransomware Termite in 2025 wurden White Veles zugeordnet.
White Yama	Verantwortlich für RaaS WorldLeaks Ehemals verantwortlich für RaaS HuntersInternational Leak-Seite bekannt.	RaaS HuntersInternational war wahrscheinlich aktiv von Oktober 2023 bis Mai 2025. HuntersInternational basiert wahrscheinlich auf Quellcode der RaaS Hive, welche seit Januar 2023 inaktiv ist. WorldLeaks ist seit Januar 2025 bekannt, erste Aktivität wurde im Mai 2025 beobachtet.
N/A	Verantwortlich für geschlossene² RaaS SafePay Leak-Seite bekannt. Die Gruppe kontaktiert Geschädigte direkt (z. B. per Telefonanrufe), um den Druck zu erhöhen	RaaS SafePay wahrscheinlich seit November 2024 aktiv. Auf der Leak-Seite von SafePay wurden überdurchschnittlich viele mutmaßlich Geschädigte aus Deutschland genannt. Ein Grund für diese Häufung ist dem BSI zum Zeitpunkt der Veröffentlichung dieses Eintrags nicht bekannt.

Fussnoten:

¹ Als zugangsbeschränkte MaaS werden diejenigen MaaS bezeichnet, welche offen um neue Affiliates werben und Affiliates zum Beispiel einen Bewerbungsprozess durchlaufen lassen, bevor diese Zugriff auf den Service erhalten.

² Als geschlossene MaaS werden diejenigen MaaS bezeichnet, welche nicht offen um neue Affiliates werben. Der Service steht einer beschränkten Gruppe an Affiliates zur Verfügung und neue Affiliates kommen eher durch Einladungen hinzu.

Leak-Geschädigten-Statistik:

Seit 2021 gehen Ransomware-Angriffe in der Regel mit einem Datenleak einher. Die kombinierte Erpressung mit Datenverschlüsselung durch Ransomware und Datenveröffentlichung durch Datenleaks wird als Double Extortion bezeichnet. Das BSI beobachtet sogenannte Leak-Seiten, auf denen Angreifer die Namen und die erbeuteten Daten von Geschädigten ihrer Ransomware-Angriffe veröffentlichen, wenn diese der Cybererpressung nicht nachgeben.

Über diese Leak-Seiten lassen sich also mutmaßlich Geschädigte erfassen, denen mit der Veröffentlichung ihrer Daten gedroht wurde. Die Leak-Geschädigten-Statistik ist insoweit keine Statistik über Ransomware-Angriffe, sondern über Geschädigte von Schweigegeld-Erpressungen. Daher wird auch von mutmaßlichen Geschädigten gesprochen, denn die Nennung auf einer Leak-Seite unter Kontrolle eines Angreifers bedeutet nicht zwingend, dass es tatsächlich auch zu einem Angriff kam. In einigen Fällen nennen Angreifer Namen auch nur zum Zwecke der Erpressung, ohne dass tatsächlich ein Angriff stattgefunden hat.

Mit der Beobachtung von Leak-Seiten wird nur ein Teil der Ransomware-Geschädigten erfasst. So werden in der Regel nur diejenigen Organisationen auf Leak-Seiten genannt und veröffentlicht, die die Zahlung eines Löse- oder Schweigegelds verweigern. Auch verwenden nicht alle Ransomware-Angreifer eine Leak-Seite. Ein großes Dunkelfeld an Ransomware-Geschädigten verbleibt daher. Deshalb gibt diese Erfassung auch keinen Aufschluss darüber, wie viele der tatsächlichen Geschädigten sich zur Zahlung eines Löse- oder Schweigegeldes entscheiden. Zudem gibt der Zeitpunkt der Veröffentlichung keinen Aufschluss über den Zeitpunkt des Ransomware-Angriffs, der bereits lange zuvor stattgefunden haben kann. Die Kategorisierung der so erfassten mutmaßlich Geschädigten nach Ländern ist darüber hinaus nur eine Annäherung, da sie in der Regel nach dem Standort der Hauptniederlassung des mutmaßlich Geschädigten erfolgt. Das angegriffene Netzwerksegment kann sich daher insbesondere bei global agierenden Unternehmen auch in anderen Teilen der Welt befunden haben.

Die Indizes aus der Abbildung messen das Nennen von mutmaßlich Geschädigten auf Leak-Seiten. Dabei wird der Durchschnitt des Jahres 2021 als Grundlage herangezogen.

Statistik vom vierten Quartal 2022 bis dritten Quartal 2025 — Quelle: BSI

Der Index für Deutschland lag im dritten Quartal 2025 bei 258 Punkten. Das bedeutet, dass die Zahl der beobachteten mutmaßlich Geschädigten, die im dritten Quartal 2025 auf Leak-Seiten genannt wurden, 2,58-mal so hoch war, wie im Jahresdurchschnitt 2021. Der Vergleichsindex weltweit lag im dritten Quartal 2025 bei 221 Punkten. Im Jahresverlauf kann zum Jahresanfang eine wiederkehrende Tendenz beobachtet werden. Besonders Angreifer, die in Russland vermutet werden, reduzieren zu dieser Zeit ihre Aktivität. Vermutlich pausieren diese über das orthodoxe Weihnachten am 6. bzw. 7. Januar.

Die ersten Cyberangriffe mit Schweigegeld-Erpressung und Leak-Seiten wurden 2019 beobachtet. Im ersten Quartal 2019 griff die sich selbst Team Snatch nennende cyberkriminelle Gruppe einige Geschädigte an. Im vierten Quartal 2019 begann die cyberkriminelle Gruppe hinter der RaaS Maze Ransomware-Angriffe mit Leaks zu kombinieren. Im Jahr 2020 setzte sich diese Vorgehensweise bei verschiedenen cyberkriminellen Gruppen durch, worüber das BSI als Proliferation cyberkrimineller Vorgehensweisen berichtete (vgl. Die Lage der IT-Sicherheit in Deutschland 2022). Mit dem Jahr 2021 wurden Double-Extortion-Angriffe zur Regel bei einem Ransomware-Angriff.

Die Anzahl an beobachteten mutmaßlich Geschädigten nahm in 2023 verglichen zu den Vorjahren signifikant zu. In 2023 wurde weltweit wie auch für Deutschland im Einzelnen fast das 1,7fache des Jahresdurchschnitts 2021 beobachtet. Weltweit bedeutet das einen Anstieg von 2022 auf 2023 um nahezu 50 %, respektive für Deutschland um nahezu 30 %.

Wesentliche Faktoren für diesen Anstieg sind wahrscheinlich eine anhaltend hohe bis sehr hohe Aktivität der bedrohlichsten Akteure sowie eine Zunahme der Aktivität über alle beobachteten Leak-Seiten hinweg. Weiter beobachtete das BSI mehrere Leak-Seiten, welche nur kurze Zeit aktiv waren oder durch einzelne Kampagnen viele mutmaßlich Betroffene nannten.

Die Zunahme der Aktivität über eine Vielzahl an Leak-Seiten hinweg setzte sich in 2024 fort. Auch konnten mehrere Leak-Seiten beobachtet werden, welche wahrscheinlich Daten aus älteren Vorfällen erneut veröffentlichten. Der deutliche Anstieg im ersten Quartal 2025 geht maßgeblich auf eine Angriffskampagne gegen File-Sharing-Software des Herstellers Cleo aus Dezember 2024 zurück. Die mutmaßlich Geschädigten wurden von Januar bis März 2025 nach und nach auf der Leak-Seite Clop von Graceful Spider veröffentlicht.

Hinzu kommt möglicherweise auch eine sich ändernde Zahlungsmoral. Auf Leak-Seiten werden in der Regel nur diejenigen mutmaßlich Geschädigten genannt, die eine Löse- oder Schweigegeldzahlung hinauszögern oder verweigern. Wenn Angriffe nicht abnehmen aber mehr Geschädigte eine Zahlung verweigern, sollte sich dies in der Leak-Geschädigten-Statistik durch eine Zunahme niederschlagen.

Navigation und Service

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Suche

Häufig gesucht

Aktive Crime-Gruppen in Deutschland

Leak-Geschädigten-Statistik:

Ähnliche Themen