Cyberkriminalität: Neue Erpresserbanden verdoppeln Attacken im April

Cyberkriminelle zielen zunehmend auf Nischenbranchen mit hohem Datenwert ab – darunter Luxushotellerie, Country Clubs und Immobilienentwickler.

Akira trifft Luxus-Resorts – Payload attackiert Baukonzerne

Am Dienstag tauchten auf der Dark-Web-Seite der berüchtigten Akira-Gruppe drei prominente Namen auf: Sunrise, Toscana Country Club und Andalusia Country Club. Die Täter haben offenbar interne Dokumente und Mitgliederregister erbeutet – klassisches Druckmittel für Erpressungsversuche. Sicherheitsexperten sehen Parallelen zur aufgelösten Conti-Gruppe, was auf hohe technische Raffinesse hindeutet.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Cyber Security Awareness Trends jetzt kostenlos herunterladen

Noch aggressiver zeigt sich die erst seit Februar 2026 aktive Gruppe Payload. Sie hat sich auf Immobilien, Fertigung und Logistik spezialisiert. Zu ihren ersten Opfern zählte SODIC, ein großer ägyptischer Immobilienentwickler. Bereits Ende März führte Payload rund 50 Firmen auf ihrer Erpressungsplattform.

Technisch setzt Payload neue Maßstäbe: Die Gruppe verschlüsselt jede Datei mit ChaCha20 und einem Curve25519-Schlüsselaustausch. Zudem löscht sie systematisch Windows-Ereignisprotokolle, deaktiviert die Ereignisverfolgung (ETW) und entfernt alle Schattenkopien – Ermittler stehen so vor leeren Händen.

480.000 Patienten betroffen – Krankenhäuser im Ausnahmezustand

Während einige Banden Nischen suchen, setzen andere auf Masse. Die Qilin-Gruppe attackierte zwischen dem 18. und 26. Mai Covenant Health, einen Klinikverbund in Maine und New Hampshire. Rund 480.000 Menschen sind betroffen – Patienten, Angehörige und Mitarbeiter. Die Täter erbeuteten Sozialversicherungsnummern, Versicherungsdaten und Krankenakten.

Die Folgen waren dramatisch: Kliniken mussten auf Papierakten umstellen, Patienten warteten stundenlang. Der Vorfall passt in einen besorgniserregenden Trend: Der April 2026 war mit 105 dokumentierten Angriffen der bislang schlimmste Monat – das Gesundheitswesen bleibt das Hauptziel.

Parallel bestätigte die US-Kette 7-Eleven einen Datenklau aus ihren Franchise-Systemen. Die Gruppe ShinyHunters erbeutete über 600.000 Datensätze aus einer Salesforce-Umgebung. Nachdem 7-Eleven kein Lösegeld zahlte, veröffentlichten die Erpresser ein 9,4 Gigabyte großes Archiv. Mindestens 185.300 Menschen sind betroffen. Der Konzern bietet nun zweijährigen Identitätsschutz an.

Staatsnahe Hacker setzen auf KI und fileless Malware

Die technische Entwicklung schreitet rasant voran. Die dem Iran zugeschriebene Gruppe Nimbus Manticore attackierte zwischen Februar und April die US-Luftfahrtbranche. Ihre Methode: gefälschte Oracle-SQL-Developer-Downloadseiten, die in Suchmaschinen weit oben landeten. Die Hintertür namens MiniFast tarnt sich als Chrome-Browserverkehr – Analysten vermuten KI-Unterstützung bei der Entwicklung.

Die nordkoreanische Lazarus-Gruppe zielt derweil auf Finanz- und Kryptofirmen. Ihr Remote Access Trojan RemotePE läuft komplett im Arbeitsspeicher, nutzt Techniken wie Hell's Gate und umgeht so klassische Virenscanner. Die Täter ködern Opfer über gefälschte Terminplanungsseiten auf Telegram.

Für DevOps-Teams wird der Quasar Linux RAT zur Gefahr. Er befällt Ubuntu-, Debian- und RHEL-Systeme, stiehlt SSH-Schlüssel, AWS-Secrets und Kubernetes-Zugangsdaten. Über ein Peer-to-Peer-Netzwerk bleibt die Schadsoftware selbst dann aktiv, wenn einzelne Komponenten entdeckt werden.

Explosion der Bedrohungslage – jedes zweite Opfer ist neu

Die Flut an neuen Erpresserbanden überfordert viele Unternehmen. Eine Studie von WithSecure zeigt: Von 60 aktiven Gruppen waren fast die Hälfte Neulinge. Die Zahl der Datenlecks stieg im Jahresvergleich um 50 Prozent. Zwar entfallen auf die Altbekannten von LockBit noch 21 Prozent aller Vorfälle – doch die schiere Menge neuer Akteure zwingt Sicherheitsteams zur Jagd auf zu viele Fronten.

Die finanziellen Folgen sind selbst für kleinere Betriebe existenzbedrohend. Eine Arztpraxis in Sydney verlor nach einer einzigen Phishing-Mail umgerechnet rund 140.000 Euro durch Reparaturen und Umsatzausfälle. Die Praxis hatte keine Zwei-Faktor-Authentifizierung (MFA) und sicherte Daten nur wöchentlich auf einer externen Festplatte. Obwohl sie kein Lösegeld zahlte, landeten die gestohlenen Patientendaten im Darknet.

Rekord-Schäden durch Phishing zeigen, warum immer mehr Unternehmen jetzt auf gezielte Prävention setzen. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen wirksam vor psychologischen Manipulationstaktiken und Cyberkriminalität schützen können. Kostenloses Anti-Phishing-Paket jetzt sichern

Auch Altlasten holen Unternehmen ein. Krispy Kreme muss bis zum 22. Juni 2026 rund 1,5 Millionen Euro an Betroffene eines Ransomware-Angriffs vom November 2024 zahlen. Die Play-Gruppe hatte damals Daten von über 160.000 Mitarbeitern und deren Familien gestohlen.

Kein Sektor ist sicher – Prävention wird zur Pflicht

Die jüngsten Angriffe auf Luxus-Clubs und Immobilienfirmen zeigen: Jedes Unternehmen mit wertvollen Daten ist ein potenzielles Ziel – auch wenn es nicht zur kritischen Infrastruktur zählt. Das FBI und internationale Behörden raten weiterhin von Lösegeldzahlungen ab, da diese weder Datenlöschung noch Schutz vor künftigen Angriffen garantieren.

Für Unternehmen bedeutet das: MFA, unveränderliche Backups und die Überwachung von Dark-Web-Leak-Seiten sind längst keine Kür mehr, sondern Pflicht. Angesichts KI-gestützter Angriffe und dateiloser Schadsoftware schrumpft das Zeitfenster für Gegenmaßnahmen rapide. Automatisierte Bedrohungserkennung und schnelle Reaktionsprotokolle sind der einzige Weg, Schritt zu halten.

de | wissenschaft | 69424313 |