IOCTA 2026, der Europol-Bericht über Ransomware

Mehr als 120 aktive Ransomware-Marken in einem einzigen Jahr. Mit dieser Feststellung beginnt die Ausgabe 2026 des Internet Organised Crime Threat Assessment (IOCTA), der jährlichen Bewertung der organisierten Cyberkriminalität durch Europol, die Ende April 2026 unter dem Titel “ How encryption, proxies and AI are expanding cybercrime “ ( Wie Verschlüsselung, Proxies und KI die Cyberkriminalität erweitern ) veröffentlicht wurde. Der Bericht deckt das Jahr 2025 ab und stellt eine Bestandsaufnahme dar, die den Strafverfolgungsbehörden des Kontinents als Referenz dient. Drei grundlegende Bewegungen strukturieren ihn: eine extreme Fragmentierung des Ransomware-Marktes, die Verlagerung von Erpressung auf die Bedrohung durch die Veröffentlichung von Daten und das Auftreten von Koalitionen zwischen bisher getrennten kriminellen Gruppen.

Table des matières

Mehr als 120 aktive Marken: ein fragmentierter und instabiler Markt.

Im Jahr 2025 beobachtete Europol mehr als 120 aktive Ransomware-Marken, eine Zahl, die die extreme Zersplitterung des Marktes widerspiegelt. Der Bericht beschreibt ein von extremer Volatilität geprägtes Umfeld, das durch den Wettbewerb zwischen den Akteuren, die Folgen von Polizeieinsätzen und die Verfügbarkeit neuer technischer Hilfsmittel angetrieben wird. Das Paradoxon ist deutlich: Das Ökosystem war noch nie so atomisiert, aber diejenigen, die am meisten davon profitieren, sind die Betreiber, die in der Lage sind, die durch die Auflösungen verdrängten Mitglieder aufzufangen. Die Verbreitung von geleakten Ransomware-Codebasen(Conti, LockBit, Black Basta), die Zunahme von fertigen RaaS-Plattformen und KI-gestützten Tools für die Codezusammenstellung haben die Eintrittsbarriere so weit gesenkt, dass fast jeder eine Variante starten kann. Doch nur wenige dieser Einsteiger überleben: Die meisten bleiben kurzlebig und operieren innerhalb weniger Wochen unter einem neuen Markennamen. Der Bericht stellt erhebliche Überschneidungen zwischen Administratoren und Affiliates von einer Gruppe zur anderen fest, ebenso wie eine gemeinsame Nutzung der Proxy- und Geldwäsche-Infrastruktur. Es ist diese Porosität, die Rebrands so schnell und die Zuweisung so schwierig macht.

Die Daten für das erste Quartal 2026, das nach dem IOCTA-Zeitraum liegt, zeigen eine Umkehrung dieser Entwicklung. Check Point Research, das Leaking Sites (DLS) überwacht, stellt fest, dass das Ökosystem „die Richtung entscheidend geändert hat „: Die Zahl der aktiven Gruppen ist von 85 auf dem Höhepunkt im dritten Quartal 2025 auf 71 im ersten Quartal 2026 zurückgegangen, und obwohl 21 neue Namen aufgetaucht sind, haben die meisten weniger als 10 Opfer gemeldet. Die zehn größten Ransomware-Gruppen vereinen wieder 71,1 % der veröffentlichten Opfer auf sich, verglichen mit 57 % auf dem Höhepunkt der Fragmentierung. Die Neukonsolidierung erfolgte um dominante Akteure herum: Qilin führt mit 338 Opfern, gefolgt von Akira, The Gentlemen und einem wiederkehrenden LockBit 5.0. Sie allein beanspruchten 41% aller Opfer des Quartals für sich, und Qilin verzeichnete sogar mehr Opfer als die 50 am wenigsten erfolgreichen Gruppen zusammen. Check Point Research beschreibt „ein Muster, das sich durch die gesamte Geschichte des Ökosystems zieht: Aktionen der Strafverfolgungsbehörden stören den Ransomware-Markt, die Partner zerstreuen sich, und die Überlebenden, die diesen Störungen entgehen, nehmen den verdrängten Talentpool auf und wachsen“.

Pie chart of top 10 ransomware groups by victim count Q1 2026, Qilin leading with 338 — Top 10 der Ransomware-Gruppen nach Anzahl der behaupteten Opfer im Q1 2026 – Quelle: Check Point Research.

Die Europol-Taxonomie: drei Ebenen von Ransomware-Gruppen.

Die IOCTA 2026 schlägt eine dreistufige Klassifizierung von Ransomware-Gruppen vor, die auf ihrer Eintrittsbarriere, ihrer technischen Raffinesse und ihrem Rekrutierungsmodell beruht.

Öffentliche Partnerprogramme (open RaaS) sind für fast jeden offen. Sie bieten ein komplettes Paket an: Malware-Assembler, Verteilungsbotnets, Tools zur Persistenz und Überwachung der Opfer, Infrastruktur zur Exfiltration und Geldwäsche, Handelsdienstleistungen und Hosting der Leaking Site. Der Administrator zieht einen Prozentsatz von jeder Zahlung ab. Qilin ist der Archetyp: Europol bringt ihn mit der ehemaligen Conti-Gruppe in Verbindung, beschreibt, dass er DDoS-Fähigkeiten integriert hat, um den Druck zu erhöhen, und an der Automatisierung von Angriffen auf Fortinet SSL VPNs arbeitet, und stellt fest, dass er seinen Mitgliedern 80-85 % der Lösegeldsumme anbietet. Akira, ebenfalls aus Conti hervorgegangen, ist seit März 2023 aktiv und hat 2025 ein hohes Tempo beibehalten, wobei sie ihre Fähigkeiten durch SonicWall-Schwachstellen auf virtualisierte Umgebungen ausdehnt.

Halbgeschlossene Gruppen rekrutieren selektiv in Foren und suchen nach Anhängern, die sowohl kompetent als auch vertrauenswürdig sind. Fog, das Anfang 2024 entdeckt wurde, nutzt eine modulare Architektur, die es ermöglicht, den Umfang der Verschlüsselung, den Inhalt der Lösegeldforderung und andere Aspekte des Angriffs je nach Ziel zu parametrisieren. Black Basta, ein weiterer Ableger von Conti, funktionierte auf diese Weise, bevor ein Leak seiner internen Protokolle im Jahr 2025 seine Phishing-Templates, Krypto-Adressen und Opfer-IDs offenlegte. Ihre Leak-Website ist seitdem inaktiv, aber die beteiligten Mitglieder setzen ihre Aktivitäten wahrscheinlich unter einem anderen Markennamen fort, gemäß dem von Europol beschriebenen Rebranding-Schema.

Geschlossene Gruppen bilden die widerstandsfähigste Kategorie mit minimaler Abhängigkeit vom CaaS-Ökosystem (Crime-as-a-Service): Sie entwickeln ihre eigene Malware, manchmal auch ihre eigenen Exploits, operieren über abgeschottete Kanäle und hosten ihre eigene Infrastruktur. Cl0p ist der Archetyp dafür: Er ist 2025 mit seiner systematischen Ausnutzung von Zero-Day-Schwachstellen wieder aufgetaucht (insbesondere mit der Oracle EBS-Lücke, die Hunderte von Unternehmen betraf). Play hingegen blieb auch 2025 aktiv und zielte auf kritische Infrastrukturen ab, wobei die doppelte Erpressung die wichtigste Vorgehensweise war.

Diese drei Ebenen bilden keine wasserdichten Abteilungen. Die IOCTA stellt fest, dass Administratoren und Mitglieder von einer Gruppe zur anderen wechseln, dass Infrastrukturen gemeinsam genutzt werden und dass die Gruppen im Laufe der Zeit ihre Kategorien ändern. BlackBasta war gestern halb geschlossen und wird heute wieder gebrandmarkt; Affiliates aus öffentlichen Programmen schließen sich geschlossenen Operationen an, wenn sich die Gelegenheit dazu bietet. Es ist diese Fluidität, die die Taxonomie als Leseraster nützlich, als Vorhersageinstrument aber unzureichend macht.

Eine angekündigte Koalition aus DragonForce, LockBit und Qilin im Dark Web.

Im September 2025 wurde im Dark Web eine Koalition angekündigt, die DragonForce, LockBit und Qilin vereinte. DragonForce, eine seit 2023 aktive, überwiegend russischsprachige Gruppe, stellt ihre Payloads aus den geleakten Codebasen von Conti und LockBit zusammen und hat einen maßgeschneiderten Erpressungsdienst (Analyse der gestohlenen Daten, Anrufskripte, Druckbriefe) gestartet, indem sie eine Provision von 20 % auf jedes Lösegeld erhebt. Die Gruppe arbeitet nach einem White-Label-Modell: Sie stellt die Infrastruktur und die Werkzeuge zur Verfügung, die Partner operieren unter ihrem eigenen Namen.

DragonForce annonce partnership with LockBit and Qilin — DragonForce kündigt die Koalition mit LockBit und Qilin an – Quelle: Check Point Research.

Die Daten aus dem ersten Quartal 2026 dämpfen jedoch diese Erzählung. Laut Check Point Research sind mehrere mit dem Projekt verbundene Untermarken zurückgegangen oder verschwunden, und „die breitere Erzählung des Kartells scheint mehr Marketing als operative Realität zu sein“. Die Rückkehr von LockBit hingegen ist greifbar: Nach der Zerschlagung durch dieOperation Cronos im Februar 2024 startete die Gruppe im September 2025 LockBit 5.0 mit plattformübergreifender Unterstützung, verstärkter Anti-Forensik, beschleunigter Verschlüsselung und einer Bitcoin-Eintrittszahlung von rund 500 US-Dollar. Check Point verzeichnet im ersten Quartal 2026 163 Opfer, ein Anstieg um 106 % im Vergleich zum Vorquartal, mit einer deutlichen geografischen Diversifizierung: Der Anteil der US-Opfer fällt unter 21 % zugunsten von Italien, Brasilien und der Türkei.

Die Allianz Scattered LAPSUS$ Hunters und die Konvergenz der englischsprachigen Erpresser.

Neben den strukturierten RaaS-Programmen widmet die IOCTA 2026 einen Abschnitt dem atypischsten Phänomen des Jahres: der im August 2025 erfolgten Gründung der Allianz Scattered LAPSUS$ Hunters (SLSH), die Scattered Spider, ShinyHunters und LAPSUS$ vereint. Diese hauptsächlich englischsprachigen Kollektive hatten bereits eine gemeinsame Vorgeschichte: Online-Betrug, SIM-Swapping, hochkarätiges Social Engineering, Anwerbung von Insidern und Erpressungskampagnen gegen große Unternehmen und Gesundheitsdienstleister.

Scattered LAPSUS$ Hunters cybercriminal alliance — Scattered LAPSUS$ Hunters, die gefürchtete Allianz der Cyberkriminellen – Quelle: SOS Ransomware.

Europol weist auf ein spezifisches Verhaltensmerkmal einiger SLSH-Mitglieder hin: anhaltende Belästigungen und Drohungen, “ die nicht unbedingt aufhören, auch wenn die Opfer das Lösegeld gezahlt haben „. Die Zahlung führt also nicht zwangsläufig dazu, dass der Druck erlischt. ShinyHunters, der auf Datenexfiltration spezialisierte Teil des Kollektivs, schöpfte im Mai 2025 übereine Milliarde Dateien aus Salesforce-Kundendatenbanken ab, indem er Mitarbeiter dazu täuschte, eine bösartige Anwendung mit dem Salesforce-Portal ihrer Organisation zu verknüpfen. Die gleiche Mechanik – Social Engineering und Phishing-Kits, die die Multifaktor-Authentifizierung umgehen – findet sich auch in der SSO-Vishing-Kampagne von ShinyHunters und der Behauptung, die Europäische Kommission gehackt zu haben.

Erpressung verlagert sich von der Verschlüsselung auf die Drohung mit der Veröffentlichung.

Der strukturierendste Trend des Berichts betrifft das Modell der Erpressung selbst. Europol formuliert es so: “ Das Ziel der Erpressung ist nicht mehr, die Daten zu entsperren (entschlüsseln), sondern die Opfer unter Druck zu setzen, damit sie zahlen, um zu verhindern, dass die Daten offengelegt (leaked) werden. “ Der Grund ist pragmatisch und wird im Bericht direkt genannt: “ Moderne Unternehmen sind im Allgemeinen besser darauf vorbereitet, mit den Folgen eines Datenverlusts (verschlüsselt oder gelöscht) umzugehen als mit den Folgen einer Offenlegung. “ Backups und die Wiederherstellung beschädigter Daten können die betriebliche Kontinuität lösen, aber sie decken weder die Gefährdung durch gesetzliche Vorschriften noch die Schädigung des Rufs ab.

Diese Verschiebung wird durch die Zahlungszahlen bestätigt, wie die Übersicht über die Ransomware-Zahlungen im Jahr 2025 zeigt: Laut Kaspersky und Chainalysis zahlten im Jahr 2025 nur 28 % der identifizierten Opfer, ein historischer Tiefstand, und die On-Chain-Zahlungen gingen auf rund 820 Millionen US-Dollar zurück (minus 8 % im Jahresvergleich). Um den Druck zu optimieren, ohne auf Verschlüsselung zurückzugreifen, stapeln die Konzerne die Hebel aufeinander: gleichzeitige DDoS-Angriffe, Überlastung der geschäftlichen E-Mail-Postfächer und direkte Telefonanrufe bei den Führungskräften. Diese Drucktaktiken sind im Arsenal von Ransomware-Gruppen üblich und werden laut Europol manchmal als separate Dienstleistungen innerhalb des CaaS-Ökosystems angeboten.

Die Erpressung ohne Verschlüsselung (Pure Data Theft) treibt diese Logik auf die Spitze: Die Angreifer exfiltrieren Daten und drohen mit deren Veröffentlichung, ohne jemals auch nur ein System zu verschlüsseln. Kaspersky nennt ShinyHunters als typisches Beispiel für eine Gruppe, die die Verschlüsselung aufgegeben und sich ausschließlich auf die Exfiltration konzentriert hat. Der Canvas/Instructure-Fall vom Mai 2026 zeigt dies am deutlichsten: kein verschlüsseltes System, Druck ausschließlich auf der Grundlage von Daten, die aus Tausenden von Bildungseinrichtungen gestohlen wurden, und eine Zahlung.

Percentage ransom payments by quarter — Prozentualer Anteil der Lösegeldzahlungen nach Quartalen – Quelle: Coweware.

Die von Coveware dokumentierte Nuance ist, dass diese reine Exfiltration an Effizienz verliert: Die Auszahlungsrate dieser Unterkategorie ist auf etwa 19 % gesunken (Coveware, drittes Quartal 2025), da Organisationen verstehen, dass eine Zahlung ihre Meldepflichten nicht aufhebt und den späteren Weiterverkauf der Daten nicht verhindert. Diese Erosion der Rendite könnte einige Gruppen dazu veranlassen, zur Verschlüsselung zurückzukehren oder technische Innovationen vorzunehmen.

KI – von Vibe-Coding bis hin zu agentischer KI.

Im Bereich der künstlichen Intelligenz erwähnt die IOCTA 2026 auch den Einsatz von generativer KI und ihre bereits operativen Anwendungen in kriminellen Operationen. Die derzeitigen Anwendungen liegen in der Kodierungsunterstützung, der Generierung von Gesprächsskripten für erpresserische Callcenter und der Personalisierung des Social Engineering. Im Dark Web kursieren bösartige, von ihren ethischen Filtern befreite LLMs, und Kriminelle greifen häufig auf „gejailbreakte“ öffentliche Vorlagen zurück.

Der interne Leak von The Gentlemen liefert ein konkretes Beispiel: Der Administrator gibt an, sein Admin-Panel innerhalb von drei Tagen mit KI entwickelt zu haben, wobei er sich auf chinesische Modelle (DeepSeek, Qwen) stützte. Pläne, einen selbstgehosteten LLM zu nutzen, um die exfiltrierten Daten zu sortieren und die am besten verwertbaren Informationen zu identifizieren, wurden dort erwähnt, aber zum Zeitpunkt des Lecks noch nicht umgesetzt. Diese zweite Ebene, dieagentische KI, die autonom planen und ausführen kann, wird von Europol als aufkommende Bedrohung identifiziert: Ihre Einführung bleibt “ ein Entwicklungsfaktor „, aber der Bericht rechnet mit einem möglichen Anstieg der Bedrohung auf ein noch nie dagewesenes Niveau.

Das Dark Web im Jahr 2025: Kurzlebige Märkte und Foren, die sich neu erfinden.

Die IOCTA 2026 beschreibt eine Dark-Web-Infrastruktur, die sich ständig verändert. Die Lebensdauer allgemeiner Marktplätze hat sich 2025 weiter verkürzt, und geplante Exitscams (bei denen Administratoren mit den Geldern der Nutzer verschwinden) sind nach wie vor endemisch. Die Zerschlagung vonArchetyp Market im Juni 2025 (über 600.000 Nutzer, mindestens 250 Millionen Euro an Transaktionen) löste die freiwillige Schließung vonAbacus Mar ket und MGM Grand aus, die sofort durch BlackOps, TorZon und Nexus Market ersetzt wurden, die zu den Märkten mit den meisten Anzeigen am Jahresende wurden. Parallel dazu gewinnen spezialisierte Plattformen (Vermittlung kompromittierter RDP/VPN-Zugänge, Malware-Dienste, Spezialwerkzeuge) an Boden, während sie den Zugang auf verifizierte Mitglieder beschränken, um ihre Betriebssicherheit zu verbessern.

Foren bleiben die wichtigsten Einstiegspunkte für aufstrebende Cyberkriminelle: Onboarding, Tutorials, Rekrutierung und Migrations-Hubs, wenn eine Plattform fällt. Im Jahr 2025 tauchten DarkForums als Nachfolger der BreachForums auf und ermöglichten den Austausch gestohlener Daten und die Verbreitung von Hacking-Tools über Schnittstellen, die sowohl auf der Oberfläche als auch im Tor-Netzwerk zu finden sind. Cyberkriminelle beschränken sich nicht mehr nur auf das Dark Web. Europol beschreibt ein “ hybrides Ökosystem der Anonymität „, in dem sich die Operationen auf Websites im Dark Web, Ende-zu-Ende-verschlüsselte Messenger wie Telegram und Dienste, die über das klassische Web zugänglich sind, verteilen, was die Überwachung und Zuordnung erschwert.

Infostealer und Zugangsvermittler, der Treibstoff des Ökosystems.

Europol bestätigt, dass Infostealer auch 2025 als zentrale Vermittler aller Cyberangriffe fortbestanden und einen Markt befeuerten, der von Initial Access Brokers (IABs) über RaaS-Affiliates bis hin zu Betrügern reichte. Die häufigsten Vektoren für den Erstzugriff sind nach wie vor Phishing, Infostealer, die Ausnutzung ungepatchter Schwachstellen und der Kauf von Zugängen von IABs.

Kaspersky gibt an, dass RDP, VPN und zunehmend RDWeb die drei am häufigsten verkauften Zugangsarten sind. RDWeb-Portale, die oft schlecht geschützt sind, werden zunehmend ins Visier genommen, da sich die Bemühungen auf die direkte Exposition von RDP konzentriert haben. Die Industrialisierung dieses Marktes ist so weit fortgeschritten, dass der ursprüngliche Zugang zu einer Ware geworden ist: Die Schwierigkeit liegt nicht mehr in der Kompromittierung, sondern in der Fähigkeit, diesen Zugang in Lösegeld umzuwandeln.

Die Geldwäsche wird immer raffinierter.

Kryptowährungen bleiben das bevorzugte Zahlungsmittel, und Europol beschreibt detailliert, wie die Geldwäschekanäle immer komplexer werden. Chain-Hopping (Überspringen von Blockchains über kettenübergreifende Brücken) hat sich als vorherrschende Technik zur Verwischung der Rückverfolgung durchgesetzt und kombiniert Schnelligkeit, Liquidität und relative Dezentralisierung. Mixer (Dienste, die die Transaktionen mehrerer Nutzer mischen, um Herkunft und Ziel zu verwischen) sind zu Smart Contract-Architekturen („Mixer-as-a-Service“) und dezentralen Exchanges (DEX) mit automatischer Abwicklung übergegangen, die die KYC/AML-Pflichten umgehen. Prepaid-Karten für Kryptowährungen und Crypto-to-Cash-Desks sorgen für den Ausgang in den legalen Finanzkreislauf.

Die konkreteste Operation des Berichts betrifft Cryptomixer, einen seit 2016 aktiven Mischdienst, über den mehr als 1,3 Milliarden Euro in Bitcoin geflossen sind. Im November 2025 wurden in einer von den schweizerischen und deutschen Behörden koordinierten und von Europol unterstützten Aktion drei Server beschlagnahmt, die Domain neutralisiert und mehr als 25 Millionen Euro in Kryptowährungen sowie 12 Terabyte an Daten konfisziert.

Cryptomixer has been seized — Die Kryptomixer-Website Cryptomixer wurde geschlossen – Quelle: SecurityWeek.

Hybride Akteure: Eine Grenze, die verwischt.

Der Bericht geht auch auf die Verflechtung von Cyberkriminalität und staatlicher Einmischung ein. Europol beobachtet, dass mit Staaten verbundene hybride Akteure cyberkriminelle Netzwerke als Stellvertreter für destabilisierende Operationen nutzen: DDoS, Eindringlinge, Datendiebstahl, Ransomware-Angriffe gegen strategische Ziele. Der Bericht formuliert es direkt: “ In der heutigen CaaS-Wirtschaft der Cyberkriminalität sind die Urheber hybrider Bedrohungen nur noch Kunden unter vielen anderen. “ Als Beispiel wird dieOperation Eastwood vom Juli 2025 genannt, bei der die Infrastruktur des Netzwerks NoName057(16) gestört wurde, bevor das Netzwerk seinen Betrieb schnell wieder aufnehmen konnte.

Opération Eastwood — Operation Eastwood – Quelle: IOCTA-Bericht 2026.

Was Organisationen aus dem IOCTA 2026 lernen sollten.

Der Bericht bestätigt, dass Ransomware zu einer eigenständigen Industrie geworden ist, mit eigenen Providern, Serviceplattformen, Geldwäsche-Tools und psychologischen Druckmechanismen. Die Strafverfolgung hat ihre Doktrin weiterentwickelt: Europol stellt fest, dass Maßnahmen gegen die wichtigsten Befähiger (Infotealer, Geldwäschedienste, gemeinsam genutzte Infrastrukturen) eine nachhaltigere Wirkung haben als die Zerschlagung isolierter Gruppen, deren Mitglieder sich auf die Überlebenden umverteilen. Operationen wie Endgame veranschaulichen diese Zielverschiebung.

Für Organisationen laufen die praktischen Folgen zusammen. Exponierte Geräte (VPNs, Firewalls) sind nach wie vor das am meisten anvisierte strukturelle Einfallstor: Fast alle von der IOCTA dokumentierten Gruppen(Qilin, Akira, LockBit, DragonForce) nutzen Schwachstellen in FortiGate, SonicWall oder Cisco aus. Diese Appliances vorrangig zu patchen, RDP oder RDWeb niemals direkt dem Internet auszusetzen, die Multifaktor-Authentifizierung allgemein einzuführen und auf kompromittierte Logins in Untergrundforen zu achten, sind die direkt wirksamsten Maßnahmen.

Verschlüsselung ist nicht mehr der einzige und oft auch nicht mehr der wichtigste Hebel, um Druck auszuüben. Die Teams müssen nun nicht nur auf Anzeichen für eine Verschlüsselung achten, sondern auch auf Anzeichen für eine vorherige stille Exfiltration, denn Backups schützen weder vor der Veröffentlichung von Daten noch vor den daraus resultierenden regulatorischen Verpflichtungen. Und der Rückgang der Zahlungsrate auf 28% bedeutet nicht, dass Lösegeldzahlungen verschwunden sind: Die Medianbeträge sind im Gegenteil sprunghaft angestiegen und spiegeln eine Polarisierung zwischen kleinen Opfern, die nicht zahlen, und großen Organisationen, die manchmal keine andere praktikable Option haben, wider. In einem Ökosystem, in dem die Mitglieder ständig von einer Gruppe zur anderen wechseln und die Belästigung auch nach der Zahlung weitergehen kann, bietet die Zahlung keine Garantie, weshalb die Vorbereitung im Vorfeld umso entscheidender ist.