So organisieren sich Ransomware-Gruppen heute:Allianzen & Kartelle und die zunehmende Professionalisierung

10. Juli 2026

Die Zeiten opportunistischer Ransomware-Angriffe sind vorbei. Das zeigt der Threat Status Report 2025/2026 von aDvens. Angesichts wachsender Konkurrenz schließen sich Ransomware-Gruppen zusammen, teilen Ressourcen und bündeln operative Fähigkeiten. Dabei setzen die Gruppen auf zwei Formen der Zusammenarbeit: strategische Allianzen zwischen etablierten Ransomware-Franchises sowie die Entwicklung hin zu kartellartigen Strukturen.

Gruppen wie Qilin, SafePay und WorldLeaks haben strategische Allianzen gebildet, um gezielt Organisationen im Gesundheitswesen, dem Finanzsektor, dem Einzelhandel sowie staatliche Institutionen anzugreifen. Qilin gehörte 2025 zu den aktivsten Ransomware-Gruppen mit durchschnittlich rund 75 Opfern pro Monat.

Auch der Zusammenschluss „Scattered LAPSUS$ Hunters“ ist ein Beispiel für eine strategische Allianz. Das Kollektiv bündelt die Fähigkeiten von Scattered Spider, LAPSUS$ und ShinyHunters und wird mit Angriffen auf Unternehmen wie Toyota, FedEx, UPS, Adidas, Disney und McDonald’s in Verbindung gebracht.

Das Ransomware-Kartell DragonForce

DragonForce ist ein Beispiel für ein „Ransomware-Kartell“. Dieses hybride Organisationsmodell geht über klassische Ransomware-as-a-Service-Strukturen hinaus. DragonForce agiert nicht als zentral gesteuerte Gruppe, sondern als Koalition von Affiliates.

Diese Affiliates führen eigene Kampagnen durch und greifen dafür auf die Infrastruktur, Werkzeuge und Unterstützung des Ransomware-Kartells zu. Dazu zählen unter anderem Leak-Site-Hosting, die Verwaltung sicherer Zahlungen, C2-Server sowie ein Administrations-Tool für umfassendes Kampagnenmanagement. Gleichzeitig behalten Affiliates ihre eigene Identität, ihren Namen und ein gewisses Maß an operativer Autonomie. Dieses Modell ist insbesondere für Akteure aus dem Umfeld von Gruppen wie LockBit, Conti oder RansomBay attraktiv.

Experten beobachten eine zunehmende Professionalisierung des Ransomware-Ökosystems. Kooperationen zwischen Gruppen ermöglichen schnellere Angriffe, breitere Zielauswahl und effizientere Monetarisierung. Für Unternehmen, Behörden und Betreiber kritischer Infrastrukturen bedeutet dies eine erhöhte Bedrohungslage: Angreifer profitieren von arbeitsteiligen Strukturen, einer zentralen Infrastruktur und gegenseitiger Unterstützung.

Andreas Süß ist CEO für die Region DACH der aDvens GmbH.

aDvens GmbH 

Lesen Sie auch