Crowdstrike 2025 Global Threat Report Cyberangreifer werden schneller und arbeiten „interaktiv“

Das Angriffsverhalten von Cyberkriminellen wandelt sich. Statt auf klassische Malware zu setzen, üben die Angreifer Crowdstrike zufolge immer häufiger Social Engineering aus und nehmen die Angebote von Access Brokern in Anspruch.

„2024 war das Jahr des unternehmungslustigen Angreifers“, schreiben die Analysten von Crowdstrike und fassen damit das vergangene Jahr aus Verteidigerperspektive zusammen. Den Experten zufolge entwickelten Cyberangreifer im Jahr 2024 innovative Tools und Techniken und fanden kreative Lösungen, um moderne Abwehrmaßnahmen zu umgehen.

Cybersicherheitsvorfälle

Aktuelle Cyberangriffe auf deutsche Unternehmen 2025

Weniger Malware, mehr Social Engineering

Als ein Beispiel für solche Cyberangriffe, die sich ständig an sich verändernde Umgebungen anpassen müssen, nennt Crowdstrike eCrime. Die Kriminellen hätten sich im vergangenen Jahr vom Phishing abgewandt und alternative Zugriffsmethoden verwendet wie Social Engineering und Voice-Phishing (Vishing). Diese veränderten Zugriffsmethoden spiegeln sich auch in einem Trend wider, den die Analysten beobachteten: Anstatt Malware zu verbreiten, nutzen eCrime-Angreifer zunehmend legitime Remote-Management-and-Monitoring-Tools (RMM), um auf das System eines Opfers zuzugreifen und machen Malware daher für erfolgreiche Operationen überflüssig.

Bei ihren Angriffen setzen die Kriminellen zunehmend auf generative KI (GenAI), um überzeugendere Phishing-, Vishing- und Impersonation-Angriffe zu erstellen. So wollen sie Nutzer dazu bringen, ihre gültigen Anmeldedaten preiszugeben und ihnen den ersten Zugriff zu gewähren. Vishing-Vorfälle stiegen laut Crowdstrike zwischen dem ersten und zweiten Halbjahr 2024 um 442 Prozent. Auf der anderen Seite nutzen die Cyberangreifer weniger Malware. Die Analysten beobachteten, dass bei 79 Prozent der 2024 beobachteten Angriffe keine Malware eingesetzt wurde. Stattdessen waren Access Broker deutlich aktiver. Sie sind Kriminelle, die sich Zugang zu Organisationen verschafft haben und diesen Zugang dann an andere Bedrohungsakteure verkaufen, anstatt sich selbst weiter im Netzwerk zu bewegen. Die von Crowdstrike entdeckten angebotenen Zugriffe der Access Broker nahmen 2024 im Vergleich zu 2023 um fast 50 Prozent zu.

Vishing mit künstlicher Intelligenz

Steigende Gefahr durch Voice-Phishing mit KI

Interaktive und schnellere Angriffstechniken

Die Nutzung von RMM-Tools und die Veränderung der Cyberkriminalität weg von Malware, bezeichnet Crowdstrike als interaktive Angriffstechnik. Dabei führen Cyberangreifer manuelle Tastaturaktionen aus, um ihre Ziele zu erreichen. Im Gegensatz zu herkömmlichen Malware-Angriffen basieren diese interaktiven Angriffe darauf, dass menschliche Angreifer das Verhalten legitimer Benutzer nachahmen, was sie für Sicherheitslösungen außerordentlich schwer zu erkennen macht. Im Jahr 2024 beobachtete CrowdStrike einen Anstieg interaktiver Angriffskampagnen um 35 Prozent im Vergleich zum Vorjahr.

Darüber hinaus werden die Angreifer immer schneller. 2024 sank den Experten zufolge die durchschnittliche Breakout-Time, also die Zeit, die Angreifer benötigen, um sich lateral von einem kompromittierten Host innerhalb der Umgebung zum nächsten zu bewegen. Während die Breakout-Time bei interaktiven eCrime-Angriffen im Jahr 2023 noch bei 62 Minuten lag, war sie 2024 nur noch bei 48 Minuten. Der schnellste Breakout habe nur 51 Sekunden betragen. Das bedeutet, dass die Verteidiger nur weniger als eine Minute Zeit haben, um Einbrüche zu erkennen und zu reagieren, bevor Angreifer die Kontrolle erlangen. Aufgrund der sinkenden Breakout-Time sollten sich Unternehmen den Experten zufolge auf folgende Sicherheitsfunktionen konzentrieren:

• Echtzeit-Bedrohungserkennung, um Einbrüche zu identifizieren und zu stoppen, bevor sie sich ausbreiten

• Identitäts- und Zugriffskontrollen, um zu verhindern, dass Gegner gültige Anmeldeinformationen nutzen

• Proaktive Bedrohungssuche, um legitimes Verhalten zu kennen und und gegnerische Bewegungen frühzeitig zu blockieren

1. Halbjahr 2025

Die Top Malware in Deutschland

(ID:50327249)