Check Point Global Cyber Threats Report

In Deutschland ist die Zahl der wöchentlichen Cyber-Attacken pro Organisation nur leicht um 0,1 Prozent auf 1 235 gestiegen. Für den DACH-Raum ist die Anzahl mit durchschnittlich 1 356 leicht rückläufig um 4 Prozent.

Zunehmende Angriffe in vielen Staaten und Branchen

Die Bedrohungslage variiert stark nach Region, verschärft sich jedoch in der Tendenz. In Europa stellte CPR den schlechtesten Trend fest: Das Volumen der Angriffe liegt zwar hinter dem anderer Regionen, verzeichnete jedoch mit 15 Prozent den stärksten Anstieg.

Die durchschnittliche wöchentliche Anzahl von Cyber-Angriffen pro Organisation lag weltweit bei 2011, was einem Anstieg von drei Prozent gegenüber dem Vormonat und von zehn Prozent gegenüber Juli 2024 entspricht.

Der stetige Anstieg unterstreicht, wie hartnäckig und anpassungsfähig Cyber-Kriminelle nach wie vor sind.

Die Daten deuten auf einen weltweiten Anstieg der Cyber-Risiken hin. Der starke Anstieg in Europa lässt jedoch vermuten, dass sich die Angreifer auf bisher weniger betroffene Regionen konzentrieren.

Bildungssektor unter Dauerbeschuss

In Deutschland waren die folgenden Bereiche und Wirtschaftssektoren am stärksten von Cyberangriffen betroffen:

Bildungswesen

Energie & Versorgung

Telekommunikation

Gesundheitswesen und Medizin.

Informationstechnologie

Auch bei einer globalen Betrachtung sind einige Wirtschaftsbranchen weitaus stärker betroffen als andere: An der Spitze der Liste steht der Bildungssektor mit durchschnittlich 4.248 Angriffen pro Organisation und somit der höchsten absoluten Anzahl an Cyberangriffen pro Woche. Dies entspricht einem Anstieg von elf Prozent gegenüber dem Vorjahr. Der Telekommunikationssektor folgt mit 2.769 Angriffen pro Woche. Dies entspricht einem Anstieg von 24 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024. Behörden lagen mit 2.745 Angriffen pro Woche nicht weit dahinter, was einem Anstieg von sechs Prozent gegenüber dem Vorjahr entspricht.

Besonders auffällig ist der Zuwachs im Agrarsektor mit 81 Prozent, was auf seine steigende Attraktivität als leichtes Ziel hindeutet. Es zeigt sich: Von Bildungsnetzwerken über Telekommunikationsriesen bis hin zu landwirtschaftlichen Betrieben – keine Branche ist immun und einige werden zu bevorzugten Zielen der Hacker.

Ransomware-Angriffe nach Regionen und Branchen

Im Juli 2025 beobachtete CPR 518 aus Tätersicht gelungene Ransomware-Angriffe, was einem Anstieg von 28 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Nordamerika war mit 52 Prozent aller gemeldeten Vorfälle die am stärksten betroffene Region, gefolgt von Europa mit 25 Prozent.

Weltweit war der Sektor Konsumgüter und Dienstleistungen mit einem Anteil von zwölf Prozent der gemeldeten Angriffe am stärksten betroffen. Es folgten die Sektoren Bauwesen und Ingenieurwesen mit rund zehn Prozent sowie Unternehmensdienstleistungen mit zehn Prozent.

Die aktivsten Ransomware-Gruppen

Im Juli 2025 dominierten drei Ransomware-as-a-Service-Gruppen (RaaS) und waren für einen großen Teil der öffentlich bekannt gewordenen Angriffe verantwortlich.

Qilin, früher bekannt als Agenda, war für zwölf Prozent aller veröffentlichten Angriffe verantwortlich und damit die aktivste Gruppe in diesem Monat. Qilin, früher bekannt als Agenda, ist seit 2022 aktiv und hat seine Infrastruktur stetig ausgebaut. Im September 2022 gab sich die Gruppe einen neuen Namen und führte einen auf Rust basierenden Encrypter ein. Seit März 2025 – nach der Stilllegung von RansomHub – hat Qilin die Rekrutierung von Affiliates intensiviert und die Zahl der veröffentlichten Opfer drastisch erhöht. Die Affiliates erhalten ein voll funktionsfähiges Admin-Panel, eine Verhandlungsinfrastruktur und Support-Services.

Ransom war für neun Prozent der Angriffe verantwortlich. Die seit Mitte 2023 aktive Gruppe hat ein ausgeprägtes Opferprofil: 33 Prozent ihrer Ziele im zweiten Quartal 2025 stammten aus dem Gesundheitswesen und zehn Prozent aus dem Bildungsbereich – Sektoren, die von einigen Gruppen oft als tabu angesehen werden. Sie betreibt außerdem eine Infrastruktur mit zwei Standorten: ein durch Anmeldedaten geschütztes Verhandlungsportal und eine öffentliche Website für die Veröffentlichung von Daten. Ransom unterstützt sowohl Windows- als auch Linux-Payloads und wächst stetig in Umfang und Leistungsfähigkeit.

Akira beanspruchte acht Prozent der gemeldeten Angriffe für sich. Akira wurde erstmals Anfang 2023 identifiziert und zielt auf Windows-, Linux- und ESXi-Systeme ab. Die Opferstatistik für das zweite Quartal 2025 zeigt einen Schwerpunkt auf Unternehmensdienstleistungen (19 %) und die industrielle Fertigung (18 %). Im Jahr 2024 veröffentlichte sie eine für ESXi-Umgebungen optimierte, Rust-basierte Variante mit selektiver Verschlüsselung, VM-Targeting, Laufzeitkontrollen und einem Rust-Build-ID-Schutz, der Reverse Engineering verhindern soll.

Diese Gruppen entwickeln sich sowohl in Bezug auf ihre Tools als auch auf ihre Ziele weiter. Damit gehören sie zu den gefährlichsten Akteuren, die in den kommenden Monaten zu beobachten sind.

Fazit:

Der im Juli 2025 beobachtete Anstieg von Ransomware setzt einen Trend fort, der sich kontinuierlich durch das laufende Jahr zieht. Dies lässt drei Schlussfolgerungen zu: die vergrößerte Reichweite von Hackern, die Weiterentwicklung von Ransomware-as-a-Service-Ökosystemen und der wachsende Druck auf kritische Sektoren. Diese Trends sind jedoch nur ein Teil des Gesamtbildes. Die hier dargestellten Daten bieten nur einen kleinen Einblick in die sich wandelnde Landschaft der Ransomware- und Cyberangriffe. Da Cyberkriminelle ihre Techniken verfeinern und ihre Reichweite maximieren, müssen Unternehmen über Gefahren informiert bleiben und präventive Verteidigungsmaßnahmen etablieren.

„Die Daten für Juli zeigen, dass Ransomware nicht nur die größte Gefahr im Cyberspace bleibt, sondern sich auch rasch weiterentwickelt. Gefährliche Gruppen wie Qilin weiten ihren Einflussbereich auf hochwertige Ziele aus”, so Lotem Finkelstein, Director Threat Intelligence and Research bei Check Point Software Technologies. „Diese Angriffe treffen jeden Winkel der Welt und jede Art von Organisation. Präventionsstrategien auf Basis künstlicher Intelligenz sind die einzige Möglichkeit, um gegenüber den Drahtziehern einen Vorsprung zu behalten.“

In Germany, the number of weekly cyberattacks per organization increased slightly, by 0.1%, to 1,235. In the DACH region, however, the number fell by 4 percent to an average of 1,356 attacks per organization per week.

Attacks are increasing in many countries and industries.

The threat situation varies greatly by region, but the trend is worsening. In Europe, CPR found the worst trend; although the volume of attacks is lower than in other regions, it recorded the strongest increase, at 15 percent.

The average number of weekly cyberattacks per organization worldwide was 2,011, which is a three percent increase compared to the previous month and a ten percent increase compared to July 2024.

This steady increase underscores the persistence and adaptability of cybercriminals.

The data indicate a global increase in cyber risks. However, the sharp increase in Europe suggests that attackers are focusing on regions that have been less affected thus far.

The education sector is under constant fire

In Germany, the following areas and economic sectors were most affected by cyberattacks:

Education

Energy & Supply

Telecommunications

Healthcare and medicine

Information technology

Even from a global perspective, some sectors of the economy are affected more than others. At the top of the list is the education sector, which experiences an average of 4,248 cyber attacks per organization per week, the highest absolute number. This represents an eleven percent increase compared to the previous year. The telecommunications sector follows closely behind with an average of 2,769 attacks per organization per week. This is a 24 percent increase compared to the same period in 2024. Authorities were not far behind, with an average of 2,745 attacks per week—a six percent increase compared to the previous year.

The agricultural sector’s growth is particularly striking at 81 percent, indicating its increasing attractiveness as an easy target. No industry is immune, from educational networks to telecommunications giants to farms. Some are becoming preferred targets for hackers.

Ransomware attacks by region and industry

In July 2025, CPR observed 518 successful ransomware attacks from the perpetrator’s point of view, which is a 28 percent increase compared to the same period in 2024. North America was the most affected region, accounting for 52 percent of all reported incidents, followed by Europe with 25 percent.

Worldwide, the consumer goods and services sector was the most affected, accounting for 12 percent of reported attacks. The construction and engineering sectors followed with around ten percent each, and business services followed with ten percent.

The Most Active Ransomware Groups

In July 2025, three ransomware-as-a-service (RaaS) groups dominated, accounting for a significant percentage of publicly reported attacks.

Formerly known as Agenda, Qilin was responsible for 12% of all published attacks, making it the most active group that month. Qilin has been active since 2022 and has steadily expanded its infrastructure. In September 2022, the group changed its name and introduced a Rust-based encrypter. Since March 2025, following the decommissioning of RansomHub, Qilin has intensified affiliate recruitment and dramatically increased the number of published victims. Affiliates receive a fully functional admin panel, negotiation infrastructure, and support services.

Ransom was responsible for nine percent of the attacks. Active since mid-2023, the group has a distinctive victim profile. Thirty-three percent of its targets in the second quarter of 2025 came from healthcare, and 10 percent came from education — sectors that some groups often consider off-limits. The group operates an infrastructure with two locations: a negotiation portal protected by login data and a public website for publishing data. Ransom supports both Windows and Linux payloads and is steadily growing in scope and performance.

Akira claimed eight percent of the reported attacks. First identified in early 2023, Akira targets Windows, Linux, and ESXi systems. Victim statistics from the second quarter of 2025 show a focus on business services (19%) and industrial manufacturing (18%).

In 2024, it released a Rust-based variant optimized for ESXi environments. This variant features selective encryption, VM targeting, runtime controls, and a Rust build ID designed to prevent reverse engineering.

These groups are evolving in terms of their tools and targets, making them some of the most dangerous players to watch in the coming months.

Conclusion

The increase in ransomware observed in July 2025 is part of an ongoing trend throughout the current year. This leads to three conclusions: an increased reach of hackers, further development of ransomware-as-a-service ecosystems, and growing pressure on critical sectors. However, these trends are only part of the overall picture. The data presented here only provides a glimpse into the evolving landscape of ransomware and cyberattacks. As cybercriminals refine their techniques and maximize their reach, organizations must stay informed about the dangers and establish preventive defenses.

„Data for July shows that not only does ransomware remain the biggest threat in cyberspace, it is also rapidly evolving. Dangerous groups like Qilin are expanding their sphere of influence to high-value targets,” said Lotem Finkelstein, Director of Threat Intelligence and Research at Check Point Software Technologies. „These attacks hit every corner of the world and every kind of organization. Prevention strategies based on artificial intelligence are the only way to stay ahead of the masterminds.”