DanaBot und LockBit: Cyber-Bedrohungen kehren zurück

Trotz internationaler Großrazzien: Berüchtigte Schadsoftware terrorisiert erneut Windows-Nutzer. Gerade sechs Monate nach den Polizei-Operationen melden sich die gefährlichsten Malware-Familien zurück – mit aufgerüsteter Technik und neuen Tricks.

Die Nachricht trifft die Cyber-Sicherheitsbranche zur Unzeit. Während Microsoft gerade erst eine kritische Sicherheitslücke stopfen musste, die bereits aktiv ausgenutzt wurde, kehren DanaBot und LockBit auf die Bildfläche zurück. Das Timing könnte kaum ungünstiger sein: Ein perfekter Sturm aus Bedrohungen rollt auf Unternehmen und Privatanwender zu.

Operation Endgame? Von wegen.

Im Mai 2025 feierten Ermittler noch ihren Erfolg gegen DanaBot. Die „Operation Endgame” sollte den Banking-Trojaner ausschalten. Doch nur ein halbes Jahr später ist klar: Die Kernmitglieder entkamen. Jetzt schlagen sie zurück.

Sicherheitsforscher von Zscaler ThreatLabz entdeckten am 12. November die neue Variante – Version 669. Und die hat es in sich: Die Kriminellen nutzen nun das Tor-Netzwerk mit .onion-Domains für ihre Steuerungsserver. Deutlich schwerer aufzuspüren als zuvor.

Passend zum Thema IT-Sicherheit: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und welche einfachen Maßnahmen sofort Wirkung zeigen. Der kostenlose Report erklärt praxisnah, wie Sie Patch-Management, Netzwerküberwachung und einfache Prozesse gegen Ransomware stärken können, ohne große Budgets. Speziell für Geschäftsführer und IT-Verantwortliche bietet er Checklisten und Prioritäten, damit Sie akute Risiken wie CVE-Exploits systematisch abarbeiten. Kostenloses Cyber-Security-E‑Book jetzt herunterladen

DanaBot funktioniert nach dem „Malware-as-a-Service”-Prinzip. Die Entwickler vermieten ihre Schadsoftware an andere Cyberkriminelle, die damit Online-Banking-Daten, Passwörter und Krypto-Wallets abgreifen. Besonders tückisch: DanaBot öffnet oft die Tür für weitere Angriffe. Ransomware-Erpresser nutzen die Lücken, die der Trojaner reißt.

LockBit feiert Comeback – mit Version 5.0

Die Ransomware-Szene erlebt derzeit eine bizarre Entwicklung. Im dritten Quartal 2025 tummelten sich 85 verschiedene Erpressergruppen im Netz – Rekord. Die Landschaft war so zersplittert wie nie zuvor. Doch jetzt deutet sich eine Trendwende an.

LockBit, einer der berüchtigsten Namen der Szene, meldet sich zurück. Nach der „Operation Cronos” Anfang 2024 schien die Gruppe erledigt. Im September 2025 präsentierte sie jedoch LockBit 5.0. Die neue Version verschlüsselt schneller, versteckt sich besser und funktioniert auf Windows, Linux und ESXi-Systemen.

Der Erfolg zieht Nachahmer an. Kleinere Kriminelle wollen wieder unter dem Dach einer „Marke” arbeiten – mit etablierter Infrastruktur und bekanntem Namen. Die Ransomware-Wirtschaft re-zentralisiert sich.

Gleichzeitig drängen neue Player auf den Markt. Die russischsprachige Kraken-Gruppe, hervorgegangen aus dem HelloKitty-Kartell, attackiert Unternehmensnetzwerke. Der neu entdeckte BAGAJAI-Erpressertrojaner nutzt bereits die sogenannte „Doppel-Erpressung”: Erst werden Daten verschlüsselt, dann drohen die Täter mit Veröffentlichung im Darknet. Zahlt das Opfer nicht, hagelt es Schlagzeilen.

Das FBI warnte am 13. November explizit vor Akira – einem der „Top 5″ gefährlichsten Ransomware-Varianten für US-Unternehmen. Die Lage ist ernst.

Microsoft flickt Sicherheitslücke – zu spät

Als wäre die Malware-Renaissance nicht genug, musste Microsoft am 12. November einen Notfall-Patch verteilen. Der „Patch Tuesday” schloss 63 Schwachstellen, darunter eine besonders heikle: CVE-2025-62215.

Diese Lücke im Windows-Kernel wurde bereits aktiv ausgenutzt, bevor Microsoft reagieren konnte. Ein sogenannter Zero-Day. Angreifer, die bereits einen Fuß in der Tür haben – etwa durch Phishing-Mails – können damit ihre Rechte auf SYSTEM-Level hochschrauben. Praktisch die Generalvollmacht für den Computer.

Mit dieser Kontrolle lassen sich Antivirenprogramme deaktivieren, Netzwerke durchsuchen und schließlich Ransomware installieren. Genau das macht CVE-2025-62215 so gefährlich: Die Lücke ist das fehlende Puzzleteil zwischen Erstinfektion und totalem Kontrollverlust.

Der Teufelskreis dreht sich weiter

Was bedeutet das konkret? Die Cyber-Kriminalität folgt einem vorhersehbaren Muster. Polizei zerschlägt Infrastruktur. Kernmitglieder entkommen. Neuaufbau mit verbesserter Technik. Comeback. Und von vorn.

Das „Malware-as-a-Service”-Geschäftsmodell heizt diese Spirale zusätzlich an. Technisches Know-how muss nicht mehr selbst entwickelt werden – man mietet es einfach. Die Einstiegshürde für Cyberkriminalität sinkt kontinuierlich.

Die Doppel-Erpressungstaktik ist mittlerweile Standard. Es geht längst nicht mehr nur um die Entschlüsselung von Daten. Die Drohung mit Datenlecks trifft Unternehmen härter als jede Systemverschlüsselung. DSGVO-Strafen, Reputationsschäden, Kundenverlust – die Druckmittel sind vielfältig.

Was jetzt zu tun ist

Windows-Nutzer sollten sofort handeln. Der November-Patch muss installiert werden – keine Verzögerung. CVE-2025-62215 wird aktiv ausgenutzt. Jeder Tag ohne Update ist ein Risiko.

Darüber hinaus empfehlen Sicherheitsexperten, Netzwerküberwachung auszubauen. Verdächtige Kommunikation mit Command-and-Control-Servern muss frühzeitig erkannt werden. Die neuen Indikatoren für Kompromittierungen – etwa die .onion-Adressen von DanaBot – gehören auf Blocklisten.

Und die Klassiker bleiben relevant: Mitarbeiterschulungen gegen Phishing, gesunde Skepsis bei E-Mail-Anhängen, keine Software von dubiosen Websites. Die meisten Infektionen beginnen mit einem unbedachten Klick.

Die ernüchternde Wahrheit? Große Polizeioperationen schaffen Atempausen, keine Lösungen. Solange die Köpfe der Organisationen frei herumlaufen, wird der Kreislauf weitergehen. DanaBot und LockBit sind zurück – und sie werden nicht die letzten sein.

PS: IT-Sicherheit stärken, ohne gleich neue IT-Teams einstellen zu müssen. Dieses kostenlose E‑Book liefert konkrete Handlungsschritte für Mittelstand und Entscheider – von Prioritäten im Patch-Management über effektive Monitoring-Checks bis zu Mitarbeiter-Schulungen gegen Phishing und CEO-Fraud. Enthalten sind praxisnahe Vorlagen und Hinweise zu aktuellen gesetzlichen Anforderungen. Holen Sie sich die kompakte Anleitung, damit Ihr Unternehmen nicht zur nächsten Schlagzeile wird. Gratis Cyber-Security-Guide anfordern