Datendiebstahl statt Verschlüsselung dominiert
Ransomware-Bedrohungstaktiken entwickeln sich weiter, die Kompromittierung von Geschäfts-E-Mails gewinnt an Bedeutung.
Trotz verstärkter Strafverfolgung machen Ransomware-Attacken mit 44 Prozent den größten Teil der erfassten Incident Response-Fälle (IR) aus. Da Unternehmen immer bessere Backup-Strategien aufbauen und so eine schnellere Recovery möglich ist, haben Cyberkriminelle ihre Strategie angepasst und setzen bei ihren Angriffen nahezu immer Datenexfiltration ein. So stahlen die Angreifer in 96 Prozent der analysierten Ransomware-Fälle Daten. Die Täter können die erbeuteten Daten dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen. Dies sind Ergebnisse des aktuellen Arctic Wolf Threat Reports.
Durchschnittliches Lösegeld 600.000 US-Dollar
Besonders gefährdet für diese Art der Angriffe sind die Fertigungsindustrie und das Gesundheitswesen, da hier die Toleranz für Ausfallzeiten besonders gering ist, Attacken erhebliche Schäden zur Folge haben und besonders im Gesundheitssektor sensible, personenbezogene Daten als Druckmittel zur Zahlung verwendet werden. Die durchschnittlichen Lösegeldforderungen betragen ähnlich wie im Vorjahr 600.000 US-Dollar. Gleichzeitig haben die Auswertungen gezeigt, dass Opferunternehmen die geforderten Beträge mit Hilfe von professionellen Ransom-Verhandlern deutlich senken können.
Business E-Mail Compromise (BEC) machen 27 Prozent der beobachteten IR-Fälle aus und sind damit weiterhin die zweithäufigste Betrugstaktik. Im Fokus stehen Organisationen, die im großen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungsbranche entfielen 26,5 Prozent der BEC-IR-Fälle, etwa doppelt so viele wie auf die zweitplatzierte Branche Rechtswesen und Verwaltung. BEC-Angriffe machten damit sogar mehr als die Hälfte der IR-Fälle im Finanz- und Versicherungswesen aus.
„Phishing und kompromittierte Zugangsdaten bleiben die Hauptursachen für BEC-Angriffe. KI ermöglicht Bedrohungsakteuren immer raffiniertere, personalisierte Attacken, sodass Awareness-Trainings allein nicht ausreichen, allen Vorfällen vorzubeugen – sie helfen aber, die Vielzahl unsauber ausgeführter Angriffe schnell zu erkennen. Unternehmen sollten deshalb neben Schulungen auch auf starke Zugangskontrollen setzen. Eine Kombination aus Passwortmanagement und moderner Multi-Faktor-Authentifizierung, etwa biometrischen Verfahren oder physischen Sicherheitsschlüsseln, ist entscheidend, um den unbefugten Zugriff effektiv zu verhindern“, erklärt Sebastian Schmerl von Arctic Wolf.
Wenige Schwachstellen werden überproportional oft ausgenutzt
Intrusions waren mit 24 Prozent die dritthäufigste Ursache der aufgezeichneten IR-Fälle. So wurden 2024 über 40.000 Sicherheitslücken verzeichnet. Auch bei den kritischen und schwerwiegenden Schwachstellen gab es einen Anstieg um rund 134 Prozent. In drei Viertel der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus, von denen alle bereits bekannte Sicherheitslücken waren, für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären.
Die meisten dieser Vorfälle standen in Verbindung mit Remote-Access-Tools und von außen zugänglichen Systemen und Services. In einigen Fällen nutzten die Angreifer beispielsweise Fehlkonfigurationen wie offene Ports, von außen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten aus, um sich Zugang zu verschaffen. Dies zeigt deutlich, wie wichtig proaktives Patch-Management ist.
„Jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle“, so Sebastian Schmerl. „Ein effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.“
Zum Report
Arctic Wolf betreibt eines der größten kommerziellen SOCs weltweit. Der Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt.
