In der 17. Kalenderwoche wurden weltweit 143 neue Opfer von Ransomware- und Data-Exfiltration-Angriffen auf bekannten Leak-Seiten im Darknet erfasst. Elf betroffene Organisationen entfallen auf den DACH-Raum, darunter neun aus Deutschland, eine aus der Schweiz und eine aus Österreich.
Im Jahr 2025 wurden mehrere neue Cyberbedrohungen und Angriffe auf kritische Infrastrukturen beobachtet. Die Malware „ZionSiphon“ zielte auf israelische Wasseraufbereitungs- und Entsalzungssysteme ab und wurde nach dem Konflikt zwischen Israel und Iran entdeckt. Sie scannt Netzwerke, nutzt industrielle Protokolle wie Modbus, DNP3 und S7comm und kann wichtige Prozessparameter wie Chlordosierung und Druck verändern. Zudem verbreitet sie sich über Wechseldatenträger und löscht sich bei nicht passenden Systemen selbst, was auf eine noch unreife Entwicklung hinweist.
Die Wiper-Malware „Lotus“ griff 2025 Energie- und Versorgungsunternehmen in Venezuela an. Sie überschreibt Daten vollständig, deaktiviert Wiederherstellungsfunktionen und macht Systeme unbrauchbar. Ein finanzielles Motiv ist nicht erkennbar.
Im Bereich Threat Actor wurde die Website von Seiko USA kompromittiert und mit einer Erpressungsnachricht versehen, in der angeblich Kundendaten gestohlen wurden. Zudem bekannte sich ein ehemaliger Mitarbeiter von DigitalMint schuldig, mit der Ransomware-Gruppe BlackCat zusammengearbeitet und Verhandlungsinformationen weitergegeben zu haben.
Laut Analysen stieg die Zahl der Ransomware-Angriffe 2025 auf bis zu 9.000 Fälle, mit Fokus auf kritische Branchen wie Industrie, Gesundheit und Energie. Die USA blieben das Hauptziel, während Gruppen wie Qilin, RansomHub und Akira besonders aktiv waren.
Auch Datenleaks nahmen zu, unter anderem bei Behörden, Unternehmen und Verbänden weltweit. Plattformen wie Doxbin waren zeitweise offline, gingen aber schnell wieder online und dienen weiterhin der Veröffentlichung sensibler Daten.
28.04.2026
