{"id":91,"date":"2026-06-14T12:21:39","date_gmt":"2026-06-14T12:21:39","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/14\/akira-vs-qilin-vs-lockbit-ransomware-vergleich\/"},"modified":"2026-06-14T12:21:39","modified_gmt":"2026-06-14T12:21:39","slug":"akira-vs-qilin-vs-lockbit-ransomware-vergleich","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/akira-vs-qilin-vs-lockbit-ransomware-vergleich\/","title":{"rendered":"Akira vs. Qilin vs. LockBit: 244 Mio. $ [2026]"},"content":{"rendered":"\n

Drei Namen dominieren die Ransomware-Lage in der DACH-Region: Akira, Qilin und LockBit. Das FBI beziffert allein die Einnahmen von Akira auf \u00fcber 244 Millionen US-Dollar seit M\u00e4rz 2023. Qilin stellt nach Daten von PI Solutions in jeder Woche des Jahres 2026 mehr neue Opfer auf seine Leak-Seite als jede andere Erpressergruppe. Und LockBit, totgesagt nach den Polizeischl\u00e4gen von 2024, ist mit der Version 5.0 zur\u00fcck. Dieser Vergleich stellt die drei gef\u00e4hrlichsten Ransomware-Operationen Seite an Seite: Technik, Gesch\u00e4ftsmodell, reale Angriffe und die konkrete Gefahr f\u00fcr Unternehmen in \u00d6sterreich, Deutschland und der Schweiz.<\/p>\n\n\n\n

Wir vergleichen entlang harter Daten aus mehr als sechs unabh\u00e4ngigen Quellen, darunter das gemeinsame Advisory von FBI, CISA und Europol vom 13. November 2025, die Quartalsberichte von Arete sowie die Threat-Profile von Halcyon, FortiGuard Labs und Check Point. Am Ende steht ein klares Urteil, welche Gruppe 2026 das gr\u00f6\u00dfte Risiko darstellt, plus ein Migrationsleitfaden f\u00fcr die Abwehr.<\/p>\n\n\n\n

Akira vs. Qilin vs. LockBit: Die wichtigsten Unterschiede auf einen Blick<\/h2>\n\n\n\n

Alle drei Gruppen betreiben Ransomware-as-a-Service (RaaS). Sie entwickeln die Schadsoftware zentral und vermieten sie an Partner, sogenannte Affiliates, die die eigentlichen Einbr\u00fcche durchf\u00fchren. Alle drei setzen auf Double Extortion, also den doppelten Druck aus Verschl\u00fcsselung und Drohung mit Datenver\u00f6ffentlichung. Die Unterschiede liegen im Detail: in der Verschl\u00fcsselungstechnik, den bevorzugten Einfallstoren, der Reife des Partnerprogramms und der schieren Schlagzahl. Die folgende Tabelle fasst die zentralen Merkmale zusammen, soweit sie sich aus den Quellen von 2025 und 2026 belegen lassen.<\/p>\n\n\n\n

\n
Merkmal<\/th>Akira<\/th>Qilin (Agenda)<\/th>LockBit 5.0<\/th><\/tr><\/thead>
Erstmals beobachtet<\/td>M\u00e4rz 2023<\/td>2022<\/td>2019 (LockBit), 5.0 ab Sept. 2025<\/td><\/tr>\n
Mutma\u00dfliche Herkunft<\/td>Sehr wahrscheinlich Conti-Nachfolge<\/td>Russischsprachiger Raum<\/td>Russischsprachiger Raum<\/td><\/tr>\n
Modell<\/td>RaaS, Affiliate-getrieben<\/td>RaaS, reifes Affiliate-Modell<\/td>RaaS, nach Takedown reaktiviert<\/td><\/tr>\n
Programmiersprache<\/td>C++, sp\u00e4ter Rust (Megazord)<\/td>Anfangs Go, sp\u00e4ter Rust<\/td>Windows- und Linux-Builds<\/td><\/tr>\n
Verschl\u00fcsselung<\/td>ChaCha20 (symmetrisch)<\/td>AES-256-CTR oder ChaCha20<\/td>Nicht offengelegt<\/td><\/tr>\n
Schl\u00fcsselschutz<\/td>RSA<\/td>RSA-4096 OAEP<\/td>Nicht offengelegt<\/td><\/tr>\n
Zielplattformen<\/td>Windows, Linux\/ESXi, Nutanix AHV<\/td>Windows, Linux, VMware ESXi<\/td>Windows, Linux<\/td><\/tr>\n
Initialer Zugriff<\/td>Gestohlene Zugangsdaten, VPN ohne MFA, CVE-Exploits<\/td>Phishing, Zugangsdaten, Exploits<\/td>Affiliate-abh\u00e4ngig<\/td><\/tr>\n
Double Extortion<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>\n
Affiliate-Anteil<\/td>Nicht offengelegt<\/td>Berichtet: 80 bis 85 %<\/td>Nicht offengelegt<\/td><\/tr>\n
Dateiendung<\/td>.akira, .powerranges<\/td>variabel<\/td>16-Zeichen-Endung pro Opfer<\/td><\/tr>\n
Kumulierte Opfer<\/td>ca. 1.520 (Ransomware.live)<\/td>\u00fcber 500 allein 2026 (MoxFive)<\/td>nach Takedown im Wiederaufbau<\/td><\/tr>\n
Bekanntestes Opfer<\/td>kritische Infrastruktur, Industrie<\/td>Synnovis (NHS), Die Linke<\/td>fr\u00fchere Gro\u00dfangriffe vor 2024<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Schon diese \u00dcbersicht zeigt das Muster: Akira ist der erfahrene Dauerl\u00e4ufer mit den h\u00f6chsten dokumentierten Einnahmen, Qilin der aggressivste Volumen-Player mit dem gro\u00dfz\u00fcgigsten Partnerprogramm, und LockBit die wiederauferstandene Marke, deren Comeback die Branche aufmerksam beobachtet. Die n\u00e4chsten Abschnitte zerlegen jede Dimension einzeln.<\/p>\n\n\n\n

Wer steckt hinter den drei Gruppen? Herkunft und Conti-Verbindung<\/h2>\n\n\n\n

Die Abstammung sagt viel \u00fcber die F\u00e4higkeiten einer Ransomware-Gruppe aus. Das kanadische Cyber Centre stuft Akira in seinem Threat Outlook 2025 bis 2027 als sehr wahrscheinlich mit der aufgel\u00f6sten Conti-Gruppe verbunden ein. Conti war bis 2022 eine der professionellsten und brutalsten Erpresseroperationen \u00fcberhaupt. Diese Erbschaft erkl\u00e4rt, warum Akira schon kurz nach dem Auftauchen im M\u00e4rz 2023 mit dem Werkzeugkasten und der Disziplin eines reifen Akteurs operierte, nicht wie ein Newcomer. Akira hat nach Einsch\u00e4tzung der Beh\u00f6rde vor allem Industrie und Telekommunikation global getroffen.<\/p>\n\n\n\n

Qilin, intern und in \u00e4lteren Berichten auch Agenda genannt, existiert seit 2022 und hat sich zu einem der reifsten Affiliate-Programme im Untergrund entwickelt. Halcyon beschreibt die Gruppe als RaaS-Operation mit einem ausgereiften Partnermodell und Double-Extortion-Taktik, die Windows-, Linux- und VMware-ESXi-Umgebungen gezielt angreift. Der entscheidende Wachstumsschub kam Mitte 2025: Nach dem Niedergang konkurrierender Marken wanderten deren Affiliates massenhaft zu Qilin ab. Barracuda datiert den Moment, in dem Qilin zur aktivsten Bedrohung wurde, auf den Juni 2025.<\/p>\n\n\n\n

LockBit ist der Veteran unter den dreien. Seit 2019 aktiv, war die Gruppe jahrelang die mit Abstand produktivste RaaS-Operation, bis eine internationale Polizeiaktion 2024 die Infrastruktur lahmlegte. Totgesagt war die Marke damit nicht. Arete berichtet, dass LockBit 5.0 erstmals Anfang September 2025 angek\u00fcndigt und im Januar 2026 erneut beobachtet wurde. Die R\u00fcckkehr zeigt, dass selbst massiver Strafverfolgungsdruck eine etablierte Ransomware-Marke nicht zwangsl\u00e4ufig ausl\u00f6scht.<\/p>\n\n\n\n

Die Kartellisierung der Szene 2026<\/h3>\n\n\n\n

Ein wichtiger Kontext f\u00fcr 2026: Sicherheitsforscher beobachten eine Ann\u00e4herung der drei Gruppen. Eine Analyse von SecureBlink aus dem M\u00e4rz 2026 beschreibt eine Kartellisierung des \u00d6kosystems, bei der sich Infrastruktur und Affiliates zwischen Qilin, LockBit und Akira \u00fcberschneiden. Affiliates arbeiten heute oft f\u00fcr mehrere Marken gleichzeitig. Das verwischt die Grenzen und erkl\u00e4rt, warum sich Taktiken und Werkzeuge der Gruppen immer \u00e4hnlicher werden. Wer eine Gruppe versteht, versteht damit zu gro\u00dfen Teilen auch die anderen.<\/p>\n\n\n\n

Verschl\u00fcsselungstechnik im Vergleich: ChaCha20, AES-256 und RSA<\/h2>\n\n\n\n

Im Kern arbeiten alle modernen Ransomware-Familien mit hybrider Verschl\u00fcsselung. Ein schneller symmetrischer Algorithmus verschl\u00fcsselt die eigentlichen Dateien, ein asymmetrisches Verfahren sch\u00fctzt den symmetrischen Schl\u00fcssel. Ohne den privaten Schl\u00fcssel der Angreifer bleibt die Entschl\u00fcsselung mathematisch aussichtslos. Wer die Grundlagen vertiefen will, findet sie in unserer Einf\u00fchrung zu SHA-256 und kryptografischen Verfahren<\/a>.<\/p>\n\n\n\n

Akira setzt laut dem FBI- und CISA-Advisory vom November 2025 auf ein hybrides Schema aus ChaCha20 f\u00fcr die symmetrische Dateiverschl\u00fcsselung und RSA zum Schutz der ChaCha20-Schl\u00fcssel. Die Beh\u00f6rden dokumentieren zudem einen Rust-basierten Encryptor namens Megazord und die F\u00e4higkeit, je nach Dateityp und Gr\u00f6\u00dfe vollst\u00e4ndig oder nur teilweise zu verschl\u00fcsseln. Teilverschl\u00fcsselung beschleunigt den Angriff dramatisch, weil bei gro\u00dfen Dateien nur Fragmente bearbeitet werden, das Ergebnis f\u00fcr das Opfer aber genauso unbrauchbar ist. Fr\u00fchere Akira-Versionen waren in C++ geschrieben und nutzten die Endungen .akira und .powerranges.<\/p>\n\n\n\n

Qilin gilt technisch als \u00e4hnlich modern. Technische Analysen ordnen der Variante Qilin.B AES-256-CTR oder ChaCha20 f\u00fcr die Dateiverschl\u00fcsselung zu, kombiniert mit RSA-4096 im OAEP-Modus zum Schl\u00fcsselschutz. Die Payloads waren anfangs in Go geschrieben und wurden sp\u00e4ter in Rust neu entwickelt, was die plattform\u00fcbergreifende Reichweite verbessert. Die Wahl von Rust ist kein Zufall: Die Sprache erzeugt schwer analysierbare Bin\u00e4rdateien und l\u00e4uft nativ auf Windows wie Linux.<\/p>\n\n\n\n

Zu LockBit 5.0 sind die \u00f6ffentlich belegten technischen Details d\u00fcnner. Arete best\u00e4tigt Windows- und Linux-Builds, zus\u00e4tzliche Anti-Analyse-Funktionen sowie eindeutige 16-Zeichen-Endungen, die an verschl\u00fcsselte Dateien angeh\u00e4ngt werden. Den konkreten Verschl\u00fcsselungsalgorithmus nennen die vorliegenden Quellen f\u00fcr die Version 5.0 nicht. Wir verzichten bewusst darauf, hier eine Zahl zu erfinden. Wie hybride Verschl\u00fcsselung in der Praxis funktioniert, erkl\u00e4ren wir am Beispiel des Web-Verkehrs in unserem Beitrag zu HTTPS und TLS<\/a>.<\/p>\n\n\n\n

Initiale Zugriffswege: Wie die Angreifer ins Netzwerk kommen<\/h2>\n\n\n\n

Die Verschl\u00fcsselung ist nur der letzte Akt. Entscheidend f\u00fcr die Abwehr ist der erste Schritt: Wie verschaffen sich die Gruppen Zugang? Hier liegt der gr\u00f6\u00dfte Hebel f\u00fcr Verteidiger, weil ein verhinderter Erstzugriff den gesamten Angriff stoppt.<\/p>\n\n\n\n

Akira ist hier am besten dokumentiert. Das Advisory nennt gestohlene Zugangsdaten als Haupteinfallstor, oft erbeutet \u00fcber Spear-Phishing oder Brute-Force-Angriffe. Die Gruppe kauft Zug\u00e4nge zus\u00e4tzlich bei Initial Access Brokern ein und nimmt besonders gern VPN-Zug\u00e4nge ohne Multi-Faktor-Authentifizierung ins Visier. Dokumentiert ist die Ausnutzung von Schwachstellen in Cisco-Produkten sowie der SonicWall-L\u00fccke CVE-2024-40766. FortiGuard Labs listet zus\u00e4tzlich Infektionsvektoren \u00fcber Cisco ASA\/FTD, SonicWall SonicOS, VMware ESXi und Veeam Backup & Replication. Nach dem Einbruch nutzt Akira legitime Fernwartungstools wie LogMeIn und AnyDesk f\u00fcr die Persistenz.<\/p>\n\n\n\n

Qilin folgt einem \u00e4hnlichen Muster aus Phishing, gestohlenen Zugangsdaten und der Ausnutzung exponierter Dienste, auch wenn die vorliegenden Quellen die Aufschl\u00fcsselung weniger granular belegen als bei Akira. Bei LockBit h\u00e4ngt der Erstzugriff stark vom jeweiligen Affiliate ab, was f\u00fcr RaaS-Modelle typisch ist: Der Entwickler liefert die Waffe, der Partner sucht sich das Ziel und den Weg hinein.<\/p>\n\n\n\n

Die gemeinsame Lehre f\u00fcr die DACH-Region: Perimeter-Systeme sind das Schlachtfeld. VPN-Gateways, ESXi-Hosts, SonicWall- und Cisco-Appliances sowie Veeam-Backups geh\u00f6ren zu den am h\u00e4ufigsten attackierten Komponenten, und genau diese Systeme sind in deutschsprachigen Unternehmen weit verbreitet. Wer hier Multi-Faktor-Authentifizierung erzwingt und Patches zeitnah einspielt, entzieht allen drei Gruppen ihre liebste T\u00fcr. Erg\u00e4nzend lohnt ein Blick auf unseren Leitfaden zur Abwehr von Phishing-Angriffen<\/a>, dem h\u00e4ufigsten Ausl\u00f6ser der Angriffskette.<\/p>\n\n\n\n

Double Extortion: Das Gesch\u00e4ftsmodell der Erpressung<\/h2>\n\n\n\n

Reine Verschl\u00fcsselung reicht den Gruppen l\u00e4ngst nicht mehr. Alle drei praktizieren Double Extortion: Sie stehlen vor der Verschl\u00fcsselung gro\u00dfe Datenmengen und drohen mit deren Ver\u00f6ffentlichung, falls das Opfer nicht zahlt. Dieser doppelte Druck hebelt die klassische Verteidigung durch Backups aus. Selbst wer seine Systeme sauber wiederherstellen kann, steht weiter unter der Drohung, dass Kundendaten, Vertr\u00e4ge oder Gesch\u00e4ftsgeheimnisse im Netz landen.<\/p>\n\n\n\n

F\u00fcr die Exfiltration nutzt Akira laut FortiGuard Labs einen klassischen Mix aus legitimen und kriminellen Werkzeugen: Cobalt Strike f\u00fcr Command-and-Control, Mimikatz zum Auslesen von Zugangsdaten, NetExec f\u00fcr laterale Bewegung, Rclone und FileZilla f\u00fcr den Datentransfer, dazu WinRAR und PowerShell. Dieser Living-off-the-Land-Ansatz, also das Zweckentfremden bordeigener Systemwerkzeuge, macht die Erkennung schwer, weil viele dieser Tools auch legitim im Einsatz sind.<\/p>\n\n\n\n

Qilins Leak-Seite ist 2026 die produktivste der Szene. Nach Daten von PI Solutions postet die Gruppe in jeder beliebigen Woche mehr neue Opfer als jede andere Operation weltweit. Das Gesch\u00e4ftsmodell skaliert \u00fcber die Masse der Affiliates, die mit dem gro\u00dfz\u00fcgigen Anteil von berichteten 80 bis 85 Prozent gelockt werden. Wer einmal Opfer wurde und die Ver\u00f6ffentlichung von Daten erlebt hat, wei\u00df: Die eigentliche Erpressung beginnt oft erst nach der Wiederherstellung der Systeme. Wie Datenlecks entstehen und welche Folgen sie haben, vertieft unser Beitrag zu Datenlecks<\/a>.<\/p>\n\n\n\n

Opferzahlen und Marktanteile 2025 bis 2026<\/h2>\n\n\n\n

Wie misst man die Gef\u00e4hrlichkeit einer Ransomware-Gruppe? Ein belastbarer Indikator ist die Zahl der \u00f6ffentlich gelisteten Opfer. Diese Werte stammen aus Leak-Seiten-Tracking und Incident-Response-Telemetrie. Sie untersch\u00e4tzen die Realit\u00e4t, weil zahlende Opfer oft nie \u00f6ffentlich werden, liefern aber den besten verf\u00fcgbaren Vergleichsma\u00dfstab. Die folgende Tabelle b\u00fcndelt Kennzahlen aus mehreren unabh\u00e4ngigen Quellen.<\/p>\n\n\n\n

\n
Kennzahl<\/th>Wert<\/th>Quelle<\/th><\/tr><\/thead>
Akira: kumulierte Opfer (Tracker)<\/td>ca. 1.520<\/td>Ransomware.live, Juni 2026<\/td><\/tr>\n
Akira: Opfer im M\u00e4rz 2026<\/td>84 in einem Monat<\/td>CybelAngel<\/td><\/tr>\n
Akira: Anteil an allen Angriffen Jan. 2026<\/td>17 %<\/td>Arete<\/td><\/tr>\n
Akira: kumulierte Einnahmen<\/td>\u00fcber 244 Mio. USD<\/td>FBI \/ CISA, Nov. 2025<\/td><\/tr>\n
Qilin: Opfer allein 2026<\/td>\u00fcber 500<\/td>MoxFive<\/td><\/tr>\n
Qilin: L\u00e4nder mit Opfern (Mitte 2025)<\/td>\u00fcber 60<\/td>Halcyon<\/td><\/tr>\n
Qilin: Status pro Woche 2026<\/td>aktivste Leak-Seite<\/td>PI Solutions<\/td><\/tr>\n
Top-3-Gruppen: Anteil Dez. 2025<\/td>57 %<\/td>Arete<\/td><\/tr>\n
Top-3-Gruppen: Anteil Jan. 2026<\/td>34 %<\/td>Arete<\/td><\/tr>\n
Ransomware global: Anstieg Q1 2026<\/td>+126 % gg\u00fc. Q1 2025<\/td>Total Assure<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Zwei Trends stechen heraus. Erstens: Akira bleibt nach Arete auch im Januar 2026 die aktivste einzelne Gruppe, doch ihr Anteil sank auf 17 Prozent, nach deutlich h\u00f6heren Werten Ende 2025. Zweitens: Die Szene fragmentiert. Der Anteil der drei gr\u00f6\u00dften Gruppen fiel von 57 Prozent im Dezember 2025 auf 34 Prozent im Januar 2026. Die Bedrohung verschwindet damit nicht, sie verteilt sich auf mehr Akteure. Gleichzeitig meldet Total Assure f\u00fcr das erste Quartal 2026 einen Anstieg der Ransomware-Aktivit\u00e4t um 126 Prozent gegen\u00fcber dem Vorjahresquartal. Mehr Gruppen, mehr Angriffe, kleinere Marktanteile pro Marke: Das ist die paradoxe Lage 2026.<\/p>\n\n\n\n

Qilin sticht beim reinen Volumen hervor. Mit \u00fcber 500 gelisteten Opfern allein 2026 und der durchg\u00e4ngig produktivsten Leak-Seite ist die Gruppe der quantitative Spitzenreiter. Akira f\u00fchrt dagegen bei den dokumentierten Einnahmen und der Konstanz \u00fcber drei Jahre. Beide Perspektiven sind f\u00fcr eine Risikobewertung relevant.<\/p>\n\n\n\n

L\u00f6segeldforderungen und Affiliate-Modell im Vergleich<\/h2>\n\n\n\n

Die wirtschaftliche Seite entscheidet, wie attraktiv eine RaaS-Marke f\u00fcr ihre Partner ist und wie hart sie ihre Opfer presst. Die folgende Tabelle vergleicht die finanziellen Eckdaten, soweit belegbar. Betr\u00e4ge, die in den Quellen nicht eindeutig belegt sind, kennzeichnen wir ausdr\u00fccklich als nicht offengelegt.<\/p>\n\n\n\n

\n
Wirtschaftsmerkmal<\/th>Akira<\/th>Qilin<\/th>LockBit 5.0<\/th><\/tr><\/thead>
L\u00f6segeldforderung (Spanne)<\/td>200.000 bis \u00fcber 4 Mio. USD<\/td>nicht einheitlich offengelegt<\/td>nicht offengelegt<\/td><\/tr>\n
Kumulierte Einnahmen<\/td>\u00fcber 244 Mio. USD<\/td>nicht offengelegt<\/td>nicht offengelegt<\/td><\/tr>\n
Affiliate-Anteil<\/td>nicht offengelegt<\/td>berichtet 80 bis 85 %<\/td>nicht offengelegt<\/td><\/tr>\n
Zahlungsdruck<\/td>Verschl\u00fcsselung + Leak<\/td>Verschl\u00fcsselung + Leak<\/td>Verschl\u00fcsselung + Leak<\/td><\/tr>\n
Verhandlung<\/td>individuelle Opferportale<\/td>individuelle Opferportale<\/td>individuelle Opferportale<\/td><\/tr>\n
Krypto-Abwicklung<\/td>\u00fcberwiegend Bitcoin<\/td>\u00fcberwiegend Bitcoin<\/td>\u00fcberwiegend Bitcoin<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Die dokumentierten Akira-Forderungen reichen laut AttackIQ von 200.000 US-Dollar bis \u00fcber vier Millionen US-Dollar pro Opfer. Wichtig: Das sind Forderungen, nicht durchschnittliche Zahlungen. Die vorliegenden Quellen liefern keinen belastbaren globalen Durchschnitt der tats\u00e4chlich gezahlten Betr\u00e4ge, und wir erfinden hier keine Zahl. Die \u00fcber 244 Millionen US-Dollar an kumulierten Einnahmen, die das FBI Akira zuschreibt, zeigen aber die Dimension des Gesch\u00e4fts.<\/p>\n\n\n\n

Qilins St\u00e4rke liegt im Partnermodell. Der berichtete Affiliate-Anteil von 80 bis 85 Prozent geh\u00f6rt zu den gro\u00dfz\u00fcgigsten der Szene und erkl\u00e4rt den Zustrom an Partnern Mitte 2025. Diese Zahl stammt aus einem einzelnen Branchenbericht von 2026 und ist als Sch\u00e4tzung zu verstehen, nicht als universell best\u00e4tigter Fakt. Die Abwicklung l\u00e4uft bei allen drei Gruppen weiterhin \u00fcberwiegend \u00fcber Bitcoin, dessen Sicherheit auf demselben SHA-256-Verfahren beruht, das wir an anderer Stelle ausf\u00fchrlich erkl\u00e4ren.<\/p>\n\n\n\n

Reale Angriffe 2025 bis 2026: F\u00fcnf F\u00e4lle im Detail<\/h2>\n\n\n\n

Statistiken werden konkret, wenn man die Opfer betrachtet. Die folgenden f\u00fcnf F\u00e4lle stammen s\u00e4mtlich aus belegten Berichten von 2024 bis 2026.<\/p>\n\n\n\n