Qilin-Ransomware: Schweizer Bank gehackt – 2,5 Terabyte erbeutet

Die berüchtigte Hackergruppe Qilin hat ihre globale Angriffswelle diese Woche dramatisch verschärft. Im Visier: eine Schweizer Großbank, eine US-Anwaltskanzlei und mehrere weitere Organisationen. Die Vorfälle unterstreichen Qilins Position als eine der aktivsten und gefährlichsten Cybercrime-Operationen des Jahres 2025 – mit alarmierendem Tempo und gezieltem Fokus auf kritische Sektoren.

Allein in den letzten 72 Stunden zeigte sich die Gruppe außergewöhnlich aktiv. Am 8. November verzeichneten Sicherheitsforscher, dass Qilin für 7 von 11 neu gemeldeten Ransomware-Vorfällen verantwortlich war. Das macht die Gruppe zur aktivsten innerhalb von 24 Stunden. Diese jüngste Angriffswelle krönt eine Woche intensiver Aktivität, in der verstärkt Dienstleister, Transport- und Finanzunternehmen in den USA und Europa ins Fadenkreuz gerieten.

Schweizer Bank im Fokus: Millionen Kundendaten kompromittiert

Der wohl brisanteste Fall wurde am 5. November bekannt: Qilin listete die Habib Bank AG Zurich auf ihrer Dark-Web-Leak-Seite. Die Hacker behaupten, über 2,5 Terabyte hochsensibler Daten erbeutet zu haben – fast zwei Millionen Dateien. Screenshots, die von Cybersecurity-Analysten gesichtet wurden, zeigen offenbar Reisepass-Nummern von Kunden, Kontostände, Transaktionshistorien und sogar den internen Quellcode der Bank.

Der Einbruch bei dem Schweizer Institut, das auch in Großbritannien, den Vereinigten Arabischen Emiraten und Kanada aktiv ist, könnte gravierende weltweite Folgen für Kunden und Geschäftspartner haben. Besonders heikel: Der gestohlene Quellcode könnte systemische Schwachstellen offenlegen, die künftig gegen die Bank oder andere Finanzinstitute eingesetzt werden könnten.

Übrigens — nicht nur Server und Datenbanken sind Ziel von Erpressungssoftware: Oft nutzen Angreifer auch unsichere Smartphones und Apps als Einstiegspunkte. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Geräte: Schritt-für-Schritt-Anleitungen zu sicheren Einstellungen, Backup-Strategien, Multi-Faktor-Optionen und App-Prüfung, damit Mobilgeräte keine Hintertür für Datendiebe werden. Gratis-Sicherheitspaket für Android jetzt herunterladen

US-Kanzlei und Logistikunternehmen als weitere Opfer

Am 7. November folgte der nächste Schlag: Qilin reklamierte einen Angriff auf Shollenberger Januzzi & Wolfe, eine renommierte US-Anwaltskanzlei. Die Gruppe drohte mit der Veröffentlichung sämtlicher vertraulicher Daten, sollten ihre Forderungen nicht erfüllt werden. Nur einen Tag später, am 8. November, meldete sich die Hackergruppe erneut – diesmal mit einem Angriff auf Advanced Delivery Services, ein US-amerikanisches Transport- und Logistikunternehmen.

Die Angriffe verdeutlichen die anhaltende Fixierung der Gruppe auf den Dienstleistungssektor, der weiterhin ein bevorzugtes Ziel bleibt. Doch warum gerade dieser Bereich? Die Antwort liegt auf der Hand: Kanzleien und Finanzinstitute verwalten hochsensible Daten, deren Verlust existenzbedrohend sein kann – perfektes Erpressungsmaterial.

Das Geschäftsmodell: Ransomware-as-a-Service im Turbo-Modus

Qilin hat sich 2025 zu einer dominierenden Kraft in der Cybercrime-Landschaft entwickelt. Forscher registrierten allein in diesem Jahr über 700 Angriffe. Die vermutlich aus Russland operierende Gruppe betreibt ein hochprofitables Ransomware-as-a-Service-Modell (RaaS). Dabei vermietet sie ihre Schadsoftware und Infrastruktur an externe Partner – sogenannte Affiliates – die im Gegenzug einen Anteil der Lösegeldzahlungen erhalten.

Diese RaaS-Struktur ermöglichte es Qilin, die Operationen rasant zu skalieren. Nach der Zerschlagung der RansomHub-Operation im April 2025 explodierte die Aktivität förmlich. Experten vermuten, dass viele ehemalige RansomHub-Affiliates zu Qilin wechselten und so für einen sprunghaften Anstieg der Angriffszahlen sorgten. Die Gruppe zählte durchschnittlich über 40 Opfer pro Monat, im Juni 2025 waren es sogar fast 100. Hauptziele: Fertigungsindustrie, Dienstleistungssektor und Großhandel.

Anatomie eines Angriffs: Raffiniert und vielschichtig

Cybersecurity-Analysten haben die ausgeklügelten Taktiken der Qilin-Affiliates detailliert dokumentiert. Ein häufiger Einstiegspunkt: gestohlene oder geleakte Administrator-Zugangsdaten, über die sich die Angreifer via VPN-Schnittstellen Zugang zu Unternehmensnetzwerken verschaffen. Anschließend nutzen sie oft das Remote Desktop Protocol (RDP) für tiefere Infiltration.

Die Gruppe setzt auf einen Mix aus legitimen und bösartigen Werkzeugen: AnyDesk und ScreenConnect für Fernzugriff, Mimikatz zum Abgreifen von Zugangsdaten und Cobalt Strike für dauerhafte Präsenz im System. Besonders raffiniert: der Einsatz des Windows Subsystem for Linux (WSL), um Linux-Ransomware-Binärdateien auf Windows-Systemen auszuführen. Diese plattformübergreifende Fähigkeit umgeht traditionelle Sicherheitslösungen, die auf Windows-Executables fokussiert sind.

Was bedeutet das für deutsche Unternehmen?

Die unablässige Angriffswelle von Qilin ist eine deutliche Warnung an Organisationen aller Branchen – auch hierzulande. Die Strategie, datenreiche Umgebungen wie Finanzinstitute und Kanzleien ins Visier zu nehmen, zielt darauf ab, maximalen Druck aufzubauen und hohe Lösegeldzahlungen zu erzwingen. Der Erfolg des RaaS-Modells zeigt einen besorgniserregenden Trend: Spezialisierte Gruppen stellen Werkzeuge und Infrastruktur bereit, was selbst weniger versierten Hackern verheerende Angriffe ermöglicht.

Für deutsche Unternehmen – vom DAX-Konzern bis zum Mittelständler – bedeutet dies: Die Verteidigung wird zunehmend anspruchsvoller. Robuste, mehrschichtige Sicherheitskonzepte sind kein Luxus mehr, sondern überlebenswichtig.

Schutzmaßnahmen: Was Unternehmen jetzt tun müssen

Angesichts von Qilins anhaltend hohem Operationstempo und der kontinuierlichen Weiterentwicklung ihrer Taktiken ist eine Entspannung nicht in Sicht. Die Gruppe beweist Geschick beim Rekrutieren talentierter Affiliates und beim Ausnutzen gängiger Sicherheitslücken wie schwacher Zugangsdaten und unüberwachter Netzwerkzugänge.

• Kontinuierliches Dark-Web-Monitoring: Überwachung auf kompromittierte Zugangsdaten
• Multi-Faktor-Authentifizierung: Durchgängige Implementierung in allen Systemen
• Offline-Backups: Aktuelle, verschlüsselte Datensicherungen außerhalb des Netzwerks
• Mitarbeiterschulungen: Regelmäßige Phishing-Simulationen und Security-Awareness-Trainings

Kann sich Ihr Unternehmen einen Ausfall leisten? Während Qilin seine Kampagne fortsetzt, ist eine proaktive und wachsame Cybersecurity-Strategie unverzichtbar – für jede Organisation, die nicht zur nächsten Schlagzeile werden will.

PS: Sensible Kommunikation gehört zu den lukrativsten Zielen für Datendiebe. Wer Chats und Team-Kommunikation besser absichern will, findet im kostenlosen “Telegram Startpaket” eine praktische Schritt-für-Schritt-Anleitung für sichere Einstellungen, geheime Chats und Datenschutz-Optionen – ideal für Mitarbeiter, die vertraulich arbeiten müssen. Telegram sicher einrichten – Gratis-Report herunterladen