Mobile-Menu

Threat Hunting Report 2025 von Crowdstrike KI-Agenten im Fokus von Cyberangreifern

Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

CrowdStrike GmbH
Fsas Technologies GmbH

Der neue Crowdstrike-Report zeigt: KI-Agenten sind im Einsatz bei Security-Teams wie auch bei Cyberkriminellen. Die Analyse offenbart Angriffe, für die keine Malware nötig ist, steigende Cloud-Intrusionen, schnelle Ran­som­ware-Übergänge und Identitäten als primäres Ziel.

Der CrowdStrike-Report 2025 verdeutlicht, dass Cyberkriminelle generative KI nutzen, um Angriffe zu skalieren, Social-Engineering-Methoden zu verfeinern und in allen Phasen komplexer Intrusionen effizienter vorzugehen.(Bild: Dall-E / KI-generiert)
Der CrowdStrike-Report 2025 verdeutlicht, dass Cyberkriminelle generative KI nutzen, um Angriffe zu skalieren, Social-Engineering-Methoden zu verfeinern und in allen Phasen komplexer Intrusionen effizienter vorzugehen.
(Bild: Dall-E / KI-generiert)

Dank KI-Agenten erleben viele Unternehmen derzeit eine Transformation: Sie automatisieren IT-Operations, kommen bei Pentests und der Incident Response zum Einsatz und dienen als virtuelle Assistenten. Doch auch Cyberkriminelle fokussieren sich zunehmend auf KI-Agenten und nutzen generative künstliche Intelligenz (GenAI), um ihre Cyebrangriffe zu skalieren und zu beschleunigen. Der Security-Anbieter Crowdstrike hat die Vorgehensweisen der Akteure im „Threat Hunting Report 2025“ beschrieben.

Die Haupterkenntnisse des Reports sind:

  • 81 Prozent der Angriffe im vergangenen Jahr, bei denen Angreifer direkt auf einem kompromittierten System arbeiten, waren malwarefrei. Dies bedeutet, dass die Akteure gestohlene Zugangsdaten sowie legitime Tools nutzten, um sich Zugriff zu verschaffen und Sicherheitsmaßnahmen zu umgehen.
  • Cloud-Intrusionen stiegen im ersten Halbjahr 2025 um 136 Prozent an. Angriffe, die in Verbindung mit China stehen könnten, stiegen um 40 Prozent.
  • Domänenübergreifende Angriffe nehmen ebenfalls zu – Die Hackergruppe „Scattered Spider“ war in der Lage, binnen 24 Stunden einen Account zu übernehmen und mit Ransomware Daten zu verschlüsseln.
  • Hauptziel bleibt die Identität: Fünf der zehn meistgenutzten MITRE-ATT&CK-Techniken sind Erkundungsmethoden zur Konto-Kartierung und Rechteausweitung.

Diese Hackergruppen nutzen KI

Die Analysten und Threat Hunter von Crowdstrike überwachen mehr als 265 bekannte Cyber­angreifer. Bei den Untersuchungen wurde klar, dass die Mehrheit von ihnen KI im großen Maßstab einsetzt, um Unternehmen anzugreifen. Auffällig war besonders die mit Nordkorea in Verbindung stehende Gruppe „Famous Chollima“. Sie nutzte in jeder Phase ihrer Attacken GenAI. Die Gruppe hat sich auf Insider-Angriffe spezialisiert und nutzte KI, um gefälschte Lebensläufe zu erstellen und Interviews mithilfe von Deepfake durchzuführen. Und auch die Iran-nahe Angreifergruppe „Charming Kitten“ nutzte KI in Form von Large Language Models (LLMs), um damit Phishing-Köder zu entwickeln, mit denen dann US- und EU-Einrichtungen angegriffen wurden.

Darüber hinaus beobachtete Crowdstrike, dass auch eCrime-Akteure und Hacktivisten, die in der Regel weniger tech­nisch versiert sind, mit KI in der Lage sind, Skripte zu erstellen, technische Probleme zu lösen und Malware zu entwickeln. Beispiele für solche Akteure sind „Funklocker“ und „SparkCat“.

Sicherheitsempfehlungen von Crowdstrike

Basierend auf den Forschungsergebnissen empfiehlt Crowdstrike Unternehmen, folgende Maßnahmen umzusetzen:

  • 1. KI-gestützte Sicherheit ausbauen: Da Angreifer KI nutzen, sollten Security-Teams ebenfalls agentische KI einsetzen, um Bedrohungen schneller zu erkennen, Alerts zu triagieren, Vor­fälle zu untersuchen und Reaktionen zu automatisieren. So bleibt mehr Zeit für proaktive Threat-Hunting-Aufgaben.
  • 2. Identität umfassend schützen: Phishing-resistente Multifaktor-Authentifizierung (MFA), strenge Zugriffsrichtlinien und Identity-Threat-Detection sind besonders relevant, um Missbrauch von Anmeldedaten, MFA-Bypass und Social Engineering zu verhindern. Integration mit Extended Detection and Response (XDR) und User-Awareness-Programme können den Schutz zusätzlich erhöhen.
  • 3. Sichtbarkeitslücken schließen: XDR- und Next-Gen-SIEM-Lösungen (Security Information and Event Management) sorgen für eine einheitliche Übersicht über Endpoints, Netzwerke, Cloud und Identitäten. KI-gestützte Analysen priorisieren echte Bedrohungen, während Threat Hunting und aktuelle Bedrohungsinformationen Angriffe früh aufdecken.
  • 4. Cloud als Kerninfrastruktur verteidigen: CNAPP- (Cloud-Native Application Protection Platform) und CDR-Tools (Cloud Detection and Response) können Fehlkonfigurationen, Schwachstellen und verdächtige Aktivitäten erkennen und beheben. Strenge Zu­griffs­richtlinien, kontinuierliches Monitoring und regelmäßige Audits verhindern unbefugten Zugriff und Datenmissbrauch.
  • 5. Schwachstellen nach Angreifer-Priorität schließen: Patching kritischer Systeme und das Erkennen von Exploit Chaining reduzieren Risiken. KI-gestützte Exposure-Management-Tools helfen, relevante Schwachstellen zu priorisieren und Angriffsflächen zu minimieren.
  • 6. Gegner kennen und vorbereitet sein: Bedrohungsinformationen und Adversary-Profiling ermöglichen proaktives Handeln. Awareness-Programme, Red-/Blue-Team-Übungen und Tabletop-Tests erhöhen Reaktionsgeschwindigkeit und schließen Sicherheitslücken, bevor sie ausgenutzt werden.

(ID:50511170)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte