NEU

Demo anfragen
Technisch

Die fünf schlimmsten Ransomware-Angriffe von 2025

Sophia BarnettSB
Sophia Barnett
Technical Marketing Writer

Ransomware-Gruppen wie HELLCAT, Cl0p und mehrere Daten-Erpressungs-Kollektive haben einige der teuersten Ransomware-Angriffe des Jahres 2025 inszeniert. Das Jahr sah Produktionsstopps bei einem großen Automobilunternehmen, die Offenlegung von Millionen von Patientenakten bei einer großen Gesundheitsorganisation, großflächigen OAuth-Missbrauch über ein Cloud-CRM und eine Zero-Day-Kampagne gegen einen großen Anbieter von Unternehmenssoftware und Cloud-Diensten, die die Kernfinanz- und Lieferkettensysteme störte. Zudem zeigte ein Angriff zum Jahresende auf einen globalen IT-Distributor, wie schnell Ransomware die globale Logistik destabilisieren kann.

Über diese Ereignisse hinweg gibt es einen gemeinsamen Nenner: Die Angreifer zielten auf die Integrationen und Plattformen ab, von denen die Operationen abhängen, und offenbarten systemische Schwächen, die sich über Branchen von Automobil bis Gesundheitswesen erstreckten.

Im Folgenden finden Sie eine chronologische Zusammenfassung der folgenreichsten Ransomware-Vorfälle des Jahres, basierend auf öffentlich berichteten Daten, Branchenanalysen und Offenlegungen betroffener Organisationen.

1. Ein großes Automobilunternehmen (März–„August 2025“)

Ransomware-Gruppen, die die Verantwortung übernehmen:

  • HELLCAT (erster Verstoß und Datendiebstahl)
  • Scattered Spider, Lapsus$ und ShinyHunters: ein Kollektiv aus drei verschiedenen Hackergruppen, die in Einheit arbeiteten und über Online-Plattformen kommunizierten, um ihren Angriff zu koordinieren

Geschätzte gestohlene Daten: ~350 GB

Branche: Automobilherstellung

Im März hackte die Ransomware-Gruppe HELLCAT erfolgreich einen großen Automobilhersteller in zwei Wellen: In der ersten Welle wurden 700 interne Dokumente gestohlen, gefolgt von einer zweiten Welle, in der 350 GB sensibler Daten entwendet wurden. Das gestohlene Material umfasste Mitarbeiteranmeldeinformationen, Tracking-Daten, Entwicklungsprotokolle und proprietären Quellcode.

Bis zum späten Sommer eskalierte die Situation. Am 31. August stellte das Unternehmen den globalen IT-Betrieb ein, um einen aktiven Verstoß einzudämmen, der die Produktion in Indien, der Slowakei, China und dem Vereinigten Königreich stoppte. In den folgenden Tagen übernahmen mehrere Bedrohungsgruppen öffentlich die Verantwortung, was zu Verwirrung über die Attribution führte. Ein neu umbenanntes Kollektiv—Scattered Spider, Lapsus$ und ShinyHunters—behauptete auf Telegram, dass sie hinter dem Angriff vom 31. August steckten, verspotteten das Unternehmen und drohten mit weiteren Zielen im Vereinigten Königreich. Das Unternehmen bestätigte später, dass sensible Daten gestohlen worden waren und dass der Angriff eine verlängerte Stilllegung der Produktions- und Vertriebssysteme erzwungen hatte.

Das Unternehmen berichtete von einem Rückgang des vierteljährlichen Vorsteuergewinns um 49%, und Branchenanalysten schätzten die gesamten Betriebs- und Wiederherstellungskosten auf rund 2,5 Milliarden US-Dollar, was es zu “dem teuersten Cyberangriff in der Geschichte des Vereinigten Königreichs” macht laut BBC.

2. Eine Gesundheitsorganisation, die sich auf Nierenpflege spezialisiert hat („August 2025“)

Ransomware-Gruppe: Interlock Ransomware

Geschätzte gestohlene Daten: PHI für 2,7 Millionen Patienten

Branche: Gesundheitswesen

Im August bestätigte das Unternehmen, dass ein Ransomware-Angriff geschützte Gesundheitsinformationen (PHI) für etwa 2,7 Millionen Patienten kompromittiert hatte, nach dem Diebstahl von mehr als 20 Terabyte Daten, einschließlich über 200 Millionen Zeilen klinischer und demografischer Aufzeichnungen. Die gestohlenen Informationen umfassten Behandlungshistorien, Versicherungsdetails, Sozialversicherungsnummern und andere hochriskante Identifikatoren—Kategorien, die erhebliche regulatorische, rechtliche und patientensicherheitsbezogene Risiken mit sich bringen.

Der Angriff störte klinische Systeme und zwang das Unternehmen, Notfallprotokolle in seinem landesweiten Netzwerk von Dialysezentren zu aktivieren. Obwohl das Unternehmen behauptet, dass die Patientenversorgung fortgesetzt wurde, bleiben die langfristigen Folgen gestohlener medizinischer Aufzeichnungen schwerwiegend: Patienten sehen sich erhöhten Risiken von Identitätsdiebstahl und betrügerischen Kreditaktivitäten gegenüber, während Gesundheitsdienstleister mit gefälschten Rezepten, korrumpierten medizinischen Historien und langfristigen Integritätsproblemen bei Aufzeichnungen konfrontiert sein könnten.

Das Unternehmen hat bereits 13,5 Millionen US-Dollar an direkten Kosten im Zusammenhang mit Untersuchung, Behebung und Betriebsunterbrechung getragen, eine Zahl, die Geschäftsausfallverluste und mögliche regulatorische Strafen ausschließt. Der Vorfall hat auch mehrere Sammelklagen (Reid v. Davita Inc. und Jenkins et al v. DaVita) ausgelöst, wobei die Kläger den Missbrauch gestohlener Daten und unzureichende Sicherheitsvorkehrungen geltend machen. Zusammen haben diese Faktoren die Überprüfung der Cybersicherheit im Gesundheitswesen intensiviert, insbesondere für Anbieter, deren Dienstleistungen für das Überleben von Patienten unerlässlich sind.

3. Eine cloudbasierte Datenplattform (September–Oktober 2025)

Ransomware-Gruppe: ShinyHunters (verbunden mit dem Scattered Spider / Lapsus$-Ökosystem)

Geschätzte gestohlene Daten: Fast 1 Milliarde Kundenakten über betroffene Mandanten ~800 Organisationen

Branche: Cloud-CRM / SaaS

Im frühen Herbst fegte eine koordinierte Reihe von Angriffen durch Organisationen, die ein bekanntes Cloud-CRM-Ökosystem nutzen. Die Angreifer durchbrachen nicht das Unternehmen selbst; stattdessen bewegten sie sich durch das umliegende Terrain—Vishing-Kampagnen, die Mitarbeiter überzeugten, eine bösartige Version des Data Loaders des Unternehmens zu installieren, und eine parallele Operation, die gestohlene OAuth-Token missbrauchte, die mit einer der Drift-Integrationen des Unternehmens verbunden waren. Eine Kampagne betraf 39 Unternehmen, während die OAuth-basierte Aktivität 760 Organisationen erreichte.

Die Gruppe—die unter Namen wie Scattered Lapsus$ Hunters und ShinyHunters operiert—behauptet, fast 1 Milliarde Kundenakten entwendet zu haben, einschließlich großer Mengen an PII und CRM-gebundenen Geschäftsdaten. Das Unternehmen hat erklärt, dass seine Plattform nicht kompromittiert wurde und dass kein Fehler in seiner Kerntechnologie beteiligt war.

Für betroffene Mandanten wurde die Auswirkung in Millionen von Dollar pro Organisation gemessen, bedingt durch forensische Untersuchungen, Kundenbenachrichtigungen und den Druck auf Kundenbeziehungen. Die Angreifer experimentierten auch mit neuen Drucktaktiken, indem sie Telegram-Abonnenten 10 US-Dollar in Bitcoin anboten, um Führungskräfte zu kontaktieren und eine Zahlung zu fordern—ein ungewöhnlicher Versuch, den Erpressungsversuch auszuweiten.

Die Kampagne zeigt, wie Angreifer lateral vorgehen indem sie Pfade, Integrationen und Drittanbieter-Tools identifizieren, anstatt die SaaS-Plattformen selbst anzugreifen. Sie suchen nach Hintertüren, wo die Sicherheit möglicherweise nicht so rigoros ist.

4. Ein großer Anbieter von Unternehmenssoftware und Cloud-Diensten (Ende 2025)

Ransomware-Gruppe: Cl0p (mit Aktivitäten, die mit Scattered Lapsus$ Hunters verbunden sind)

Geschätzte gestohlene Daten: Große Mengen an ERP-Daten über mehrere Unternehmen

Branche: Unternehmens-ERP / multi-industry

Ende 2025 begann Cl0p, die Schwachstelle CVE‑2025‑61882 auszunutzen, einen Remote-Code-Ausführungsfehler im BI Publisher-Integrationskomponenten eines großen Anbieters von Unternehmenssoftware und Cloud-Diensten. Der Fehler erlaubte unauthentifizierten Zugriff über HTTP, was den Angreifern einen direkten Zugang zur Concurrent Processing-Engine des Unternehmens verschaffte. Googles Threat Intelligence Group und Mandiant beobachteten die Ausnutzung am 2. Oktober; das Unternehmen gab am 4. Oktober eine Warnung und einen Patch heraus. Ein zweiter EBS-Fehler, CVE‑2025‑61884, wurde Tage später gepatcht.

Forscher fanden heraus, dass die Angreifer fünf separate Schwächen miteinander verknüpften—einige neu entdeckt, andere früher im Jahr gepatcht—um einen Zugriff vor der Authentifizierung zu erreichen. Ein Proof-of-Concept, das von Scattered Lapsus$ Hunters veröffentlicht wurde, bestätigte den Ausnutzungsweg, was mehreren Bedrohungsgruppen ermöglichte, ihn zu übernehmen. Einmal drinnen, setzte Cl0p ein bösartiges Skript, server.py, ein, das als Kommando- und Kontrollkanal für Datendiebstahl und laterale Bewegung fungierte.

Die Kampagne erreichte Organisationen in den Bereichen Medien, Luftfahrt, Hochschulbildung und Industrie, einschließlich The Washington Post, Harvard University, Envoy Air, Schneider Electric und Emerson. Die Opfer erhielten Erpressungs-E-Mails—oft von kompromittierten Geschäftsemail-Konten gesendet—die “Beweise” für gestohlene ERP-Daten und Anweisungen zur Zahlung anboten.

Viele Organisationen erkannten erst, dass sie kompromittiert worden waren, als Cl0p-verbundene Akteure Erpressungs-E-Mails initiierten, die sich auf Daten bezogen, die von der Plattform des Anbieters für Unternehmenssoftware und Cloud-Dienste entnommen wurden. Analysen von Google und Mandiant zeigen, dass das mehrstufige Implantat-Framework der Angreifer es ihnen ermöglichte, tiefere Anwendungsbestandteile zu erreichen, einschließlich BI Publisher und Concurrent Processing—Bereiche, auf die der Anbieter hinweist, dass sie sensible Geschäftsdaten offenlegen können, wenn sie ohne Autorisierung zugegriffen werden.

Der Vorfall zeigte, wie schnell Bedrohungsakteure Privilegien eskalieren können, sobald remote zugängliche ERP-Dienste exponiert sind, was die Interaktion mit finanziellen und operativen Daten ermöglicht, auf die Unternehmen für ihre täglichen Funktionen angewiesen sind.

5. Ein globaler Technologiedistributor (Ende 2025)

Ransomware-Gruppe: SafePay (verbunden mit LockBit‑abgeleiteten Aktivitäten)

Geschätzte gestohlene Daten: Betriebs-, Logistik- und lieferantenbezogene Daten (Umfang noch in Überprüfung)

Branche: Globale Distribution und Logistik

Anfang Juli wurde einer der größten Technologiedistributoren der Welt von einem Ransomware-Angriff getroffen, der sie zwang, zentrale Systeme in ihrem globalen Netzwerk herunterzufahren. Mitarbeiter sahen erstmals am 3. Juli Ransomnote-Pop-ups, kurz bevor die Bestellverarbeitungssysteme, Websites und die Xvantage- und Impulse-Plattformen des Unternehmens zu versagen begannen. SafePay – eine schnell wachsende Erpressungsgruppe, die mit mehr als 220 vorherigen Opfern verbunden ist – übernahm später die Verantwortung. Erste Berichte deuteten darauf hin, dass die Angreifer wahrscheinlich über das GlobalProtect-VPN des Unternehmens mit geleakten oder schwachen Anmeldeinformationen eingedrungen sind, anstatt durch einen Softwarefehler.

Der Ausfall stoppte die Bestellverarbeitung weltweit für mehrere Tage. Mit offline befindlichen Erfüllungssystemen sahen sich Kunden und Wiederverkäuferpartner mit Rückständen, verzögerten Lieferungen und eingeschränkter Sichtbarkeit auf den Lagerbestand konfrontiert. Hersteller und Dienstleister, die auf die Verteilungszeitpläne des Anbieters angewiesen waren, mussten auf Backup-Distributoren umschwenken oder Reservelagerbestände abbauen, um den Betrieb aufrechtzuerhalten. Während die Ransomnote von SafePay einen Datendiebstahl behauptete, gab es zu Beginn keine Hinweise auf geleakte Kunden-, Lieferanten- oder Mitarbeiterdaten, und das Unternehmen setzte die Untersuchung des Umfangs möglicher Exposition fort.

Der globale IT-Distributor reagierte, indem er betroffene Systeme isolierte, sein VPN offline nahm und externe Incident-Response-Teams einsetzte. Das Unternehmen gab regelmäßige öffentliche Updates heraus, stellte Workarounds für die Bestellung per Telefon oder E-Mail zur Verfügung und richtete Eskalationskanäle für dringende Anfragen ein. Die Wiederherstellung erfolgte in Phasen: Websites kehrten am 7. Juli zurück, die teilweise Bestellverarbeitung wurde am 8. Juli wieder aufgenommen, und die vollständigen globalen Operationen wurden bis zum 9. Juli wiederhergestellt.

Über 42.000 persönliche Informationen von Kunden waren betroffen, einschließlich Sozialversicherungsnummern, Geburtsdaten, Beschäftigungsunterlagen und Namen.

Obwohl das Unternehmen nie einen formellen Bericht veröffentlichte, lagen die geschätzten Kosten im niedrigen bis mittleren Millionenbereich, bedingt durch die Systemwiederherstellung, Partnerunterstützung und die operationale Belastung, die durch den Ausfall entstand. Selbst ohne bestätigte großflächige Datenexposition zeigte das Ereignis, wie schnell eine Ransomware-Infektion durch eine globale Lieferkette wirken kann, wenn die Kernplattformen eines Distributors offline gehen.

Was diese Angriffe über moderne Ransomware-Kampagnen offenbaren

Warum mehrere Gruppen denselben Angriff beanspruchen

Ransomware-Gruppen konkurrieren oft um Aufmerksamkeit, Glaubwürdigkeit und Einfluss. Wenn ein Vorfall ein hochgradig sichtbares Ziel betrifft (ob ein großer Automobilhersteller, eine Gesundheitsorganisation, die auf Nierengesundheit spezialisiert ist, eine Cloud-basierte Datenplattform, ein großer Anbieter von Unternehmenssoftware und Cloud oder ein globaler Technologiedistributor), können mehrere Gruppen die Verantwortung übernehmen. Einige tun dies, um ihren Ruf aufzublähen, andere, um Ermittler zu verwirren, und einige, um Druck auf die Opfer auszuüben, schnell zu zahlen. Das ist alles Teil der Erpressungsstrategie.

Warum Unternehmen so wenig und so langsam offenlegen

Organisationen haben selten in den ersten Stunden oder sogar Tagen ein vollständiges Bild eines Angriffs. Rechtliche Risiken, regulatorische Verpflichtungen und das Risiko, ungenaue Informationen zu veröffentlichen, beeinflussen, wie und wann sie kommunizieren. Viele Unternehmen teilen nur das, was sie verifizieren können, was oft bedeutet, dass während des Ereignisses nur begrenzte Details und danach sorgfältig formulierte Aussagen bereitgestellt werden. Dies schafft Lücken im öffentlichen Verständnis, spiegelt jedoch die Realität der Incident-Response wider: Teams decken immer noch auf, was passiert ist, während die Welt nach Antworten fragt.

Das gesagt, haben Unternehmen die Verpflichtung, Transparenz zu wahren, wenn PHI und andere sensible Kundendaten kompromittiert wurden. Nachrichten sollten nicht Wochen oder Monate benötigen, um veröffentlicht zu werden. Unternehmen im Gesundheitswesen, SLED und Finanzdienstleistungen werden aus diesem Grund speziell an einen höheren Standard gehalten: Die Art von Informationen, die sie speichern, ist besonders anfällig und muss mit dem besten verfügbaren Schutz gesichert werden.

Was diese Verstöße hätte verhindern können

Architektonische Lücken, die Angreifern Spielraum gaben

Bei allen fünf Vorfällen unterschieden sich die Einstiegspunkte – VPN-Anmeldeinformationen bei einem globalen Technologiedistributor, ein Zero-Day bei einem großen Anbieter von Unternehmenssoftware und Cloud, Integrationsmissbrauch bei einem Cloud-CRM und identitätsgesteuerte Kompromittierung bei einem Gesundheitsunternehmen, das sich auf Nierengesundheit spezialisiert hat. Aber einmal drinnen, hatten die Angreifer aus denselben Gründen Erfolg:

  • Zu viel implizites Vertrauen zwischen den Systemen
  • Backup-Pfad, die erreicht oder manipuliert werden konnten
  • Datenbanken, die modifiziert oder exfiltriert werden konnten
  • Umgebungen, in denen laterale Bewegungen lange vor der Entdeckung möglich waren

Diese Schwächen verwandelten Standorte in umfassende Verstöße.

Elemente, die den Explosionsradius hätten begrenzen können

Ein anderer architektonischer Ansatz hätte die Trajektorie jedes Angriffs verändert.

  • Zero Access-Prinzipien hätten die missbräuchliche Verwendung von Anmeldeinformationen und die Einstiegspunkte der Integrationsschicht, die den Angreifern ihren Standpunkt gaben, abgeschaltet.
  • Segmentierung zwischen Backup-Software und Backup-Speicher hätte die Kontrollpfade, auf die Angreifer angewiesen sind, unterbrochen und verhindert, dass sie die Backups erreichen oder ändern, selbst nachdem sie die primären Systeme verletzt hatten.
  • Zero-Trust Datenresilienz hätte laterale Bewegungen eingeschränkt und die Eindringung auf den ursprünglichen Einstiegspunkt beschränkt.
  • Absolute Immutability hätte sichergestellt, dass selbst wenn Angreifer die Kernsysteme erreichten, sie die Daten, auf die Organisationen zur Wiederherstellung angewiesen sind, nicht ändern oder verschlüsseln konnten.

Diese Strategien sind der Unterschied zwischen einem Verstoß, der zu einer monatelangen, mehrmillionenschweren operationellen Krise wird, und einem, der am Eintrittspunkt endet. Um zu verstehen, wie ein Ransomware-Angriff aussieht und wie man sich darauf vorbereitet, laden Sie unseren Ransomware Survival Guide herunter.

Interessiert daran, Ihr Unternehmen ransomware-sicher zu machen? Sprechen Sie mit einem unserer Vertriebsingenieure und vereinbaren Sie noch heute eine Demo.

Aktuelles erhalten

Durch das Absenden dieses Formulars bestätige ich, dass ich die Hinweis zum Datenschutz gelesen habe und ihnen zustimme.

Sie können sich jederzeit abmelden.

Verwandte Blogs

Article preview image
Technisch
Datenschutzwoche: Tipps zum Schutz Ihrer Daten
Sophia Barnett
· 8 min zu lesen
Article preview image
Technisch
Vier Risiken, die DIY-Speicher zu einem Glücksspiel machen
Sophia Barnett
· 5 min zu lesen
Article preview image
Technisch
Zugang ist Unsicherheit
Anthony Cusimano
· 5 min zu lesen