Trotz massiver internationaler Polizeieinsätze waren Anfang 2026 fast 50 verschiedene Erpresserbanden aktiv. Branchenbeobachter sprechen von einem hochdynamischen Umfeld: Wird eine Plattform zerschlagen, wandern die Cyberkriminellen schnell auf widerstandsfähigere Infrastrukturen ab. Das Geschäftsmodell der digitalen Erpressung hat sich als dauerhaftes Phänomen etabliert.
LockBit meldet sich mit neuer Version zurück
Die bekannteste Ransomware-Gruppe LockBit ist zurück. Nach der spektakulären Zerschlagungsaktion „Operation Cronos“ Anfang 2024 hat das Syndikat sein Geschäftsmodell grundlegend überarbeitet. Seit Herbst 2025 setzt die Gruppe eine neue Variante namens LockBit 5.0 oder ChuongDong ein. Die Software kann Windows, Linux und VMware-Umgebungen gleichermaßen angreifen – eine deutliche technische Aufwertung.
Angesichts der technischen Aufrüstung von Ransomware-Gruppen wie LockBit ist ein proaktiver Schutz der eigenen IT-Infrastruktur für Unternehmen überlebenswichtig. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken effektiv schließen und Ihr Unternehmen ohne teure Investitionen vor aktuellen Cyberbedrohungen absichern. Gratis-E-Book: IT-Sicherheit effektiv stärken
Die interne Organisation wurde ebenfalls verschärft. Neue Partner müssen jetzt eine Kaution von 500 Dollar in Bitcoin hinterlegen, bevor sie Zugang zum Steuerungssystem erhalten. Experten sehen darin einen Versuch, Polizei-Ermittler fernzuhalten und nur verlässliche Komplizen zuzulassen. LockBit ist seit über fünf Jahren ununterbrochen im Darknet präsent – ein Beleg dafür, wie schwer hochprofessionelle Ransomware-Dienste dauerhaft auszuschalten sind.
Zerschlagungen führen zu neuer Fragmentierung
Die jüngsten Polizeiaktionen im Frühjahr 2026 haben die Bedrohungslage paradoxerweise unberechenbarer gemacht. Anfang April wurden über 300 Domains des Phishing-Dienstes Tycoon 2FA vom Netz genommen. Doch statt eines Endes der Aktivitäten verlegten die Täter ihre Operationen schnell auf Alternativplattformen wie Mamba 2FA, Sneaky 2FA und EvilProxy. Die kriminelle Lieferkette funktionierte nahtlos weiter.
Ähnliches geschah nach dem Zusammenbruch der Gruppe ALPHV/BlackCat: Deren frühere Partner schlossen sich größtenteils der neuen Organisation RansomHub an. Analysten bezeichnen RansomHub als geistigen Nachfolger früherer Großgruppen. Die Konzentration der Macht ist alarmierend: Im April 2026 waren zwar 47 verschiedene Ransomware-Gruppen aktiv, aber nur drei Akteure waren für rund 40 Prozent aller Vorfälle verantwortlich.
Finanzielle Dimension erreicht neue Höhen
Die Erpressungssummen steigen rasant. Die Gruppe Akira, die Anfang 2023 auftauchte, hat nach aktuellen Schätzungen von FBI und Europol bereits über 244 Millionen Dollar erpresst. Die Täter nutzen gezielt Sicherheitslücken in VPN-Produkten von SonicWall und Cisco. In dokumentierten Fällen gelang es ihnen, sensible Daten innerhalb von nur zwei Stunden nach dem ersten Eindringen zu stehlen.
Die USA bleiben das Hauptziel mit über der Hälfte aller erfolgreichen Angriffe. Am stärksten betroffen ist derzeit der verarbeitende Sektor, gefolgt von Bildungseinrichtungen und Krankenhäusern. Neue Gruppen wie SEXi spezialisieren sich auf VMware-Umgebungen und legen gezielt die virtuelle Infrastruktur großer Unternehmen lahm – inklusive der Backup-Systeme.
Da besonders der verarbeitende Sektor und kritische Infrastrukturen im Visier von Cyberkriminellen stehen, gewinnt die Prävention gegen Phishing-Angriffe massiv an Bedeutung. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die psychologischen Manipulationstaktiken der Hacker entlarven und Ihr Unternehmen in 4 Schritten absichern. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Vom „Takedown“ zur „Störung“
Die Strafverfolgungsbehörden haben ihre Strategie angepasst. Statt von „Zerschlagung“ sprechen sie zunehmend von „Störung“ der kriminellen Infrastruktur. Der Grund: Quellcode und Fachwissen der Täter bleiben meist erhalten. Operation Cronos gilt als Wendepunkt: Sie beendete LockBit nicht, zwang die Gruppe aber zu einer einjährigen Neuaufbauphase.
Die niedrigen Einstiegshürden für Cyberkriminalität zeigen sich auch an neuen Gruppen wie ATP73, Qiulong und Fog. Viele sind vermutlich Ableger oder Neugründungen älterer Banden. Eine technische Analyse ergab eine 75-prozentige Übereinstimmung der Angriffsmuster von Fog und Akira – ein Hinweis auf enge Zusammenarbeit oder gemeinsame Zugangsvermittler.
Ausblick: Spezialisierung und neue Erpressungsmodelle
Die Bedrohungslage wird sich 2026 weiter verschärfen. Experten erwarten eine zunehmende Spezialisierung auf Nischen-Software und plattformunabhängige Verschlüsselung. Das Modell der doppelten Erpressung – Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen – bleibt Standard. Einige Gruppen könnten jedoch ganz auf Verschlüsselung verzichten und sich auf reinen Datendiebstahl konzentrieren.
Die Strafverfolgungsbehörden werden vermutlich verstärkt die finanzielle Infrastruktur ins Visier nehmen: Kryptowährungs-Mixer und Wechseldienste, die den Tätern das Waschen ihrer Erlöse ermöglichen. Für Unternehmen bleibt die wichtigste Verteidigung die konsequente Beseitigung bekannter Sicherheitslücken und der Einsatz phishing-resistenter Mehrfach-Authentifizierung. Die Rückkehr von LockBit und die schnelle Anpassung der Täter nach der Tycoon-2FA-Zerschlagung zeigen: Die Cyberkriminalität ist ein dauerhafter Bestandteil der modernen Wirtschaft geworden.
