Am 17. April hat IBM den neuen X-Force Threat Intelligence Index 2025 veröffentlicht. Demnach gehen Ransomware-Angriffe auf Unternehmen zurück, aber der Diebstahl von Anmeldedaten nimmt zu. Laut IBM X-Force verzeichneten E-Mails mit Infostealern im Jahr 2024 im Vergleich zum Vorjahr einen Anstieg um 84 Prozent. [...]
Der jährlich erscheinende X-Force Threat Intelligence Index verfolgt neue sowie bestehende Trends und Angriffsmuster und stützt sich dabei auf Milliarden von Datenpunkten aus Netzwerk- sowie Endgeräten, Incident-Response-Engagements, Bedrohungsdaten und anderen Quellen. Da Cyberkriminelle Identitätslücken nutzen, die in komplexen hybriden Cloud-Umgebungen entstehen und mehrere Zugriffspunkte bieten, „brechen sie meist ein, ohne etwas zu zerstören“, sagt Mark Hughes, Global Managing Partner of Cybersecurity Services bei IBM. Deswegen müssen sich Unternehmen, so Hughes, „von ihrer Adhoc-Präventionsmentalität lösen und sich auf proaktive Maßnahmen konzentrieren wie etwa die Modernisierung des Authentifizierungsmanagements, das Schließen von Lücken in der Multi-Faktor-Authentifizierung und die Durchführung einer Echtzeit-Bedrohungssuche, um versteckte Bedrohungen aufzudecken, bevor sie vertrauliche Daten preisgeben“.
Patching ist sicherheitstechnische Herausforderung für kritische Infrastruktur
Die Abhängigkeit von veralteter Technologie und langsame Patch-Zyklen erweisen sich für Unternehmen und Organisationen mit kritischer Infrastruktur als permanente Herausforderung. So zeigte IBM X-Force, dass Cyberkriminelle bei mehr als einem Viertel der Vorfälle derartige Schwachstellen ausnutzten.
Bei der Überprüfung der in Dark-Web-Foren am häufigsten genannten Schwachstellen und Sicherheitslücken (Common Vulnerabilities and Exposures, kurz CVEs) stellten die Experten der X-Force fest, dass vier der zehn wichtigsten Schwachstellen und Sicherheitslücken mit hochspezialisierten Cyberhackergruppen in Verbindung gebracht werden, darunter auch mit nationalstaatlichen Angreifern, wodurch sich natürlich auch das Risiko von Störungen, Spionage und finanzieller Erpressung erhöht. Exploit-Codes für diese CVEs wurden in zahlreichen Foren offen gehandelt – und damit ein (leider wachsender) Markt für Angriffe auf Stromnetze, Gesundheitsnetzwerke und Industriesysteme geschaffen. Dieser Informationsaustausch zwischen finanziell motivierten und nationalstaatlichen Angreifern verdeutlicht den Bedarf an Dark-Web-Überwachung, um Patch-Management-Strategien zu unterstützen und potenzielle Bedrohungen zu erkennen, bevor sie ausgenutzt werden.
Im Jahr 2024 beobachtete IBM X-Force einen Anstieg von Phishing-E-Mails mit Infostealern wie ACR Stealer, LummaC2, Rhadamanthys, Stealc, RisePro, DoomStealer und FireStealer – hier zeigen erste Daten für 2025 einen noch stärkeren Anstieg von 180 Prozent im Vergleich zu 2023. Dieser Aufwärtstrend, der die Übernahme weiterer Konten potenziell ermöglicht, ist möglicherweise darauf zurückzuführen, dass Cyberkriminelle mittlerweile auch KI nutzen, um derart ihre Angriffe hochzuskalieren.
Das Phishing von Zugangsdaten sowie Infostealer haben Identitätsangriffe für die Hacker erschwinglicher, skalierbar und letztlich äußerst profitabel gemacht. Infostealer ermöglichen die schnelle Exfiltration von Daten, was ihre Zeit am Zielort verkürzt und kaum forensische Spuren hinterlässt. Im Jahr 2024 hatten allein die fünf größten Infostealer mehr als acht Millionen Identitätsdaten im Dark Web, und jede Auflistung kann Hunderte von Zugangsdaten enthalten. Bedrohungsakteure verkaufen im Dark Web außerdem Adversary-in-the-Middle-Phishing-Kits (AITM) und benutzerdefinierte AITM-Angriffsdienste, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Die Verfügbarkeit kompromittierter Zugangsdaten und MFA-Umgehungsmethoden deutet jedenfalls auf eine hohe Nachfrage nach unbefugtem Zugriff hin und es deutet nichts darauf hin, dass sich dieser Trend abschwächt.
Ransomware-Betreiber wechseln zu risikoärmeren Modellen
Während Ransomware noch im Jahr 2024 mit 28 Prozent den größten Anteil der Malware-Fälle darstellte, beobachteten die X-Force-Experten im Vergleich zum Vorjahr einen Rückgang der Ransomware-Vorfälle insgesamt, wobei die Identitätsangriffe die Lücke füllten.
Internationale Verteidigungsanstrengungen und Kooperationen zwingen die auf Ransomware spezialisierten Kriminellen dazu, ihre Hochrisikomodelle in verteiltere und risikoärmere Operationen umzustrukturieren. Laut IBM X-Force stellten zuvor gut etablierte Malware-Familien wie ITG23 (auch bekannt als Wizard Spider, Trickbot Group) und ITG26 (QakBot, Pikabot) entweder ihre Operationen vollständig ein oder stiegen auf andere Malware um, darunter auch auf neue und kurzlebige Familien. Der Grund: Cyberkriminelle Gruppen versuchen, Ersatz für die im letzten Jahr ausgeschalteten Botnetze zu finden.
Weitere Ergebnisse des X-Force-Berichts 2025
- KI-Bedrohungen: Auch wenn es im Jahr 2024 zu keinen größeren Angriffen auf KI-Technologien kam, arbeiten Sicherheitsforscher mit Hochdruck daran, Schwachstellen zu erkennen und zu beheben, bevor Cyberkriminelle sie ausnutzen. Probleme wie die Sicherheitslücke bei der Remotecodeausführung, die X-Force-Experten in einem Framework zum Erstellen von KI-Agenten entdeckten, werden häufiger auftreten. Mit der voraussichtlich steigenden Verbreitung bis 2025 steigen auch die Anreize für Angreifer, spezielle Angriffstoolkits für KI zu entwickeln. Daher müssen Unternehmen unebdingt die KI-Pipeline von Anfang an absichern.
- Regionen: Asien und Nordamerika sind die am meisten angegriffenen Regionen. Asien (34 Prozent) und Nordamerika (24 Prozent) waren im Jahr 2024 für fast 60 Prozent aller Angriffe verantwortlich, auf die IBM X-Force weltweit reagierte.
- Branchen: Die Fertigungsindustrie war von Ransomware-Angriffen am stärksten betroffen und bereits das vierte Jahr in Folge die am stärksten angegriffene Branche. Da die Zahl der Ransomware-Fälle im letzten Jahr am höchsten war, lohnt sich für diesen Sektor die Investition in Verschlüsselung, um Ausfallzeiten möglichst zu verhindern.
- Linux-Bedrohungen: In Zusammenarbeit mit RedHat Insights stellte IBM X-Force fest, dass in mehr als der Hälfte der Umgebungen von Red Hat Enterprise Linux-Kunden mindestens eine kritische CVE nicht behoben wurde und 18 Prozent mit fünf oder mehr Sicherheitslücken konfrontiert waren. Gleichzeitig unterstützen die aktivsten Ransomware-Familien (z. B. Akira, Clop, Lockbit und RansomHub) mittlerweile sowohl Windows- als auch Linux-Versionen ihrer Ransomware.
Be the first to comment