2025 Finance Sector – Landscape Report

DDoS-Angriffe entwickelten sich zum dominierenden Bedrohungsvektor und verdoppelten sich von 329 Vorfällen im Jahr 2024 auf 674 im Jahr 2025. Diese koordinierten Kampagnen richteten sich gegen Bankportale, Zahlungsschnittstellen und kundenorientierte Finanzdienstleistungen. Eine Attributionsanalyse ergab, dass die Hacktivisten-Gruppen Keymous+ und NoName057(16) für etwa ein Drittel aller DDoS-Aktivitäten verantwortlich waren und politisch motivierte Störkampagnen in mehreren Ländern durchführten.

Die Zahl der Ransomware-Vorfälle stieg von 269 auf 451, wobei die Angreifer zunehmend ausgefeilte Doppel- und Dreifach-Erpressungsmodelle einsetzten. Gruppen wie Qilin, Akira und Clop dominierten die Landschaft und waren zusammen für etwa 31 Prozent der registrierten Ransomware-Fälle verantwortlich. Die Vereinigten Staaten waren mit 196 Vorfällen am stärksten von diesen Angriffen betroffen, gefolgt von Südkorea mit 31 Fällen.

Die Zahl der Datenverstöße und -lecks stieg um 73 Prozent von 256 auf 443 Fälle. 40 Prozent dieser Vorfälle entfielen auf die Vereinigten Staaten, wobei auch Indien und Indonesien erheblich betroffen waren. BreachLaboratory entwickelte sich zu einem wichtigen Akteur bei groß angelegten Datendiebstahloperationen und war für 43 Vorfälle verantwortlich. Die Zuordnung der Vorfälle blieb weiterhin schwierig, da fast ein Drittel der Verstöße mit unbekannten Akteuren in Verbindung gebracht wurde.

Eine geografische Analyse ergab Konzentrationsmuster in verschiedenen Regionen. Die Vereinigten Staaten blieben das am stärksten betroffene Land in allen wichtigen Angriffsvektoren, was auf ihre umfangreiche Finanzinfrastruktur und digitale Vernetzung zurückzuführen ist. Sekundäre Aktivitäten traten in Indien, Indonesien, Brasilien, Südkorea und dem Vereinigten Königreich auf, was die globale Reichweite sowohl von hacktivistischen als auch von finanziell motivierten Operationen unterstreicht.

Neue Bedrohungen führten zu neuen Dimensionen in der Risikolandschaft. KI-gestützte Investitionsbetrügereien nutzten gefälschte Finanzökosysteme, um Opfer in die Falle zu locken, während Deepfake-Technologien eine ausgeklügelte Umgehung der Identität während KYC-Verifizierungsprozessen ermöglichten. Der Banking-Trojaner Herodotus zeigte fortschrittliche Fähigkeiten und ahmte menschliches Verhalten mit zufälligen Tastenanschlagverzögerungen nach, um Betrugserkennungssysteme in Italien und Brasilien zu umgehen und auf Märkte in den Vereinigten Staaten, der Türkei und Polen auszuweiten.

Phishing-Operationen wurden durch kommerzialisierte Plattformen leichter zugänglich. Die Phishing-as-a-Service-Operation „Spiderman“ stellte vorgefertigte Seiten, Anti-Bot-Kontrollen und die Erfassung von Anmeldedaten in Echtzeit bereit, sodass auch wenig versierte Akteure überzeugende Kampagnen gegen Banken und Kryptowährungsplattformen starten konnten. Berichten zufolge stützten sich 90 Prozent der großen Phishing-Kampagnen im Jahr 2025 auf solche Dienstleistungsangebote.

Der Zahlungsbetrug entwickelte sich mit EMV-Klonkampagnen weiter, die auf Finanzinstitute in Mexiko, der Dominikanischen Republik, Peru und Kolumbien abzielten. Die Angreifer nutzten die anhaltende Akzeptanz von Magnetstreifen als Fallback und die schwache Durchsetzung von Chip- und PIN-Verfahren aus und erzielten damit nach eigenen Angaben Erfolgsraten von über 90 Prozent an POS-Terminals in den Zielregionen.

Die regionalen Muster wiesen unterschiedliche Merkmale auf. In Europa wurden 345 Vorfälle registriert, wobei das Vereinigte Königreich, Frankreich und Deutschland am stärksten betroffen waren. In Amerika wurden 628 Fälle registriert, davon 493 in den Vereinigten Staaten. Die APAC-Region zeigte eine erhebliche Anfälligkeit, wobei Indien, Indonesien und Südkorea weltweit durchweg zu den am stärksten betroffenen Volkswirtschaften gehörten.

Der Bericht identifizierte mehrere Trends, die sich bis 2026 voraussichtlich verstärken werden. DDoS-Angriffe werden wahrscheinlich zunehmen, da Hacktivisten-Gruppen weiterhin auf zugängliche Botnet-Infrastrukturen zurückgreifen. Ransomware-Operationen werden sich voraussichtlich mit aggressiveren Erpressungstaktiken weiterentwickeln, während KI-gesteuerte Betrugsdelikte durch automatisiertes Social Engineering und die Erstellung synthetischer Identitäten zunehmen werden. Es wird erwartet, dass mobile Bedrohungen zunehmen werden, da Malware-Familien Techniken zur Emulation menschlicher Interaktionen einsetzen.

Sicherheitsforscher betonten, dass die Eskalation die zunehmende Raffinesse der Fähigkeiten und Zielstrategien der Angreifer widerspiegelt. Unternehmen stehen unter zunehmendem Druck, proaktive, informationsgestützte Sicherheitsprogramme einzuführen, die einen verstärkten Identitätsschutz, eine verbesserte DDoS-Resilienz, eine verbesserte Ransomware-Vorbereitung und eine erweiterte Überwachung externer digitaler Risiken umfassen.

DDoS attacks emerged as the dominant threat vector, nearly doubling from 329 incidents in 2024 to 674 in 2025. These coordinated campaigns targeted banking portals, payment interfaces, and customer-facing financial services. Attribution analysis revealed that hacktivist groups Keymous+ and NoName057(16) accounted for roughly one-third of all DDoS activity, executing politically motivated disruption campaigns across multiple countries.

Ransomware incidents climbed from 269 to 451, with attackers deploying increasingly sophisticated double and triple extortion models. Groups such as Qilin, Akira, and Clop dominated the landscape, together accounting for approximately 31 percent of recorded ransomware cases. The United States bore the brunt of these attacks with 196 incidents, followed by South Korea with 31 cases.

Data breach and leak incidents rose 73 percent, from 256 to 443 cases. The United States accounted for 40 percent of these events, with India and Indonesia also experiencing significant exposure. BreachLaboratory emerged as a major actor in large-scale data theft operations, responsible for 43 incidents. Attribution challenges remained significant, with nearly one-third of breach cases linked to unknown actors.

Geographic analysis revealed concentration patterns across regions. The United States remained the most targeted country across all major attack vectors, reflecting its extensive financial infrastructure and digital interconnectedness. Secondary activity emerged in India, Indonesia, Brazil, South Korea, and the United Kingdom, highlighting the global reach of both hacktivist and financially motivated operations.

Emerging threats introduced new dimensions to the risk landscape. AI-powered investment scams employed fabricated financial ecosystems to trap victims, while deepfake technologies enabled sophisticated identity bypass during KYC verification processes. The Herodotus banking trojan demonstrated advanced capabilities, mimicking human behavior with randomized keystroke delays to evade fraud detection systems across Italy, Brazil, and expanding to markets in the United States, Turkey, and Poland.

Phishing operations became more accessible through commercialized platforms. The Spiderman phishing-as-a-service operation provided ready-made pages, anti-bot controls, and real-time credential harvesting, enabling low-skilled actors to launch convincing campaigns against banks and cryptocurrency platforms. Reports indicated that 90 percent of large phishing campaigns in 2025 relied on such service offerings.

Payment fraud evolved with EMV cloning campaigns targeting financial institutions across Mexico, the Dominican Republic, Peru, and Colombia. Threat actors exploited persistent magstripe fallback acceptance and weak chip-and-PIN enforcement, claiming success rates exceeding 90 percent at point-of-sale terminals in targeted geographies.

Regional patterns showed distinct characteristics. Europe recorded 345 incidents, with the United Kingdom, France, and Germany leading in exposure. The Americas registered 628 cases, dominated by 493 incidents in the United States. The APAC region demonstrated significant vulnerability, with India, Indonesia, and South Korea appearing consistently among the most targeted economies globally.

The report identified several trends expected to intensify in 2026. DDoS attacks will likely expand as hacktivist groups continue using accessible botnet infrastructure. Ransomware operations are projected to evolve with more aggressive extortion tactics, while AI-driven fraud will escalate through automated social engineering and synthetic identity creation. Mobile threats are anticipated to grow as malware families adopt human-like interaction emulation techniques.

Security researchers emphasized that the escalation reflects growing sophistication in threat actor capabilities and targeting strategies. Organizations face mounting pressure to adopt proactive, intelligence-led security programs incorporating strengthened identity protection, enhanced DDoS resilience, improved ransomware preparedness, and advanced monitoring of external digital risks.