Check Point Software Technologies hat auf der CPX Vienna 2025, der jährlichen Cybersicherheitsveranstaltung des Unternehmens, wichtige Erkenntnisse aus dem neuesten „EMEA Threat Intelligence Report“ vorgestellt. Die CPX Vienna bringt Branchenführer, Cybersicherheitsexperten und politische Entscheidungsträger zusammen, um über neue Bedrohungen, die Auswirkungen von KI auf die Cyberkriegsführung und die neuesten Sicherheitsinnovationen zu diskutieren.
Die neuesten Ergebnisse zeigen, dass KI-gesteuerter Cyber-Warfare, die Verlagerung von Ransomware auf Datenerpressung und Schwachstellen in Cloud- und Edge-Infrastrukturen die größten Sicherheitsherausforderungen für Unternehmen in der EMEA-Region darstellen.
Cybersicherheits-Trends: KI-gesteuerter Cyber-Warfare und Desinformation
Cyberangriffe verlagern sich zunehmend von der direkten Störung von Infrastrukturen zu Beeinflussungsoperationen, Desinformationskampagnen und KI-gestützter Cyber-Warfare. Nationalstaatliche Akteure nutzen KI-Tools, um Informationen zu manipulieren, Desinformationen zu verbreiten und ausgefeilte Cyberangriffe durchzuführen.
o KI wurde zwischen September 2023 und Februar 2024 bei mindestens einem Drittel der wichtigsten Wahlen eingesetzt, um die Stimmung der Wähler zu beeinflussen, Desinformationen zu verbreiten und das Vertrauen der Öffentlichkeit zu manipulieren.
o Russische, iranische und chinesische Cyber-Gruppen haben KI-generierte Deepfakes und Fake-News-Kampagnen eingesetzt, um die Wahlen in den USA, Taiwan, Rumänien und Moldawien zu beeinflussen.
o Die Olympischen Spiele in Paris wurden zu einem Hauptziel für Cyberbeeinflussungsoperationen mit koordinierten Fehlinformationsbemühungen, die darauf abzielten, die Veranstaltung zu diskreditieren und die westliche Einheit zu stören.
„Der Aufstieg der KI-gesteuerten Desinformation verändert die Cybersicherheitslandschaft grundlegend. Von Deepfake-generierten politischen Angriffen bis hin zu groß angelegten Beeinflussungskampagnen erleben wir eine beispiellose Eskalation des KI-gesteuerten Cyber Warfare,” sagt Lotem Finkelsteen, Director, Threat Intelligence & Research Area.
Deepseek-AI von groß angelegter Cyberattacke betroffen
Deepseek-AI, eine in China ansässige Plattform für künstliche Intelligenz, wurde Opfer eines groß angelegten Cyberangriffs, der das Unternehmen dazu zwang, die Registrierung neuer Nutzer zu beschränken. Zwar ist die Identität der Angreifer noch nicht bekannt, doch gibt der Angriff Anlass zur Sorge über die Sicherheit von KI-Plattformen und die potenziellen Schwachstellen in KI-gestützten Ökosystemen.
„Mit der zunehmenden Integration von KI in den täglichen IT-Betrieb wird ihre Infrastruktur zu einem Hauptziel für Cyberkriminelle und staatliche Akteure. Unternehmen müssen der KI-Sicherheit Priorität einräumen, um groß angelegte Sicherheitsverletzungen zu verhindern, die weitreichende Folgen haben könnten,“ sagt Eli Smadja, Security Research Group Manager bei Check Point Software.
Der Angriff auf Deepseek unterstreicht den wachsenden Trend, KI-Infrastrukturen ins Visier zu nehmen, und macht deutlich, dass KI-gesteuerte Dienste robuste Sicherheitsmaßnahmen implementieren müssen, um sich vor den sich entwickelnden Cyber-Bedrohungen zu schützen.
Die Evolution von Ransomware: Die Verlagerung hin zur reinen Datenerpressung und zum Angriff auf kritische Sektoren
Ransomware ist nach wie vor eine der hartnäckigsten und schädlichsten Cyber-Bedrohungen, aber die Angreifer ändern ihre Taktik – weg von der traditionellen verschlüsselungsbasierten Erpressung hin zur reinen Datenleck-Erpressung.
o Ransomware-Gruppen konzentrieren sich jetzt auf den Diebstahl sensibler Unternehmensdaten und drohen mit deren Weitergabe, anstatt Dateien zu verschlüsseln.
o Das harte Vorgehen der Strafverfolgungsbehörden gegen große Ransomware-Gruppen wie Lockbit und ALPHV hat zu einer fragmentierten Ransomware-Industrie geführt, in der neue Gruppen wie Ransomhub das Machtvakuum ausnutzen.
„Die Verlagerung hin zur Erpressung durch Datenlecks stellt ein noch heimtückischeres Risiko dar – Organisationen sind nicht mehr nur mit IT-Betriebsunterbrechungen konfrontiert, sondern auch mit der öffentlichen Preisgabe sensibler Daten. Die Sicherheitsstrategien müssen sich weiterentwickeln und sich auf eine frühzeitige Erkennung, starke Datenverschlüsselung und robuste Zugangskontrollen konzentrieren, um diese Bedrohungen abzuschwächen,” sagt Omer Dembinsky, Data Research Group Manager bei Check Point Software.
Infostealer und Initial-Access-Broker: Die Schattenwirtschaft der Cyberkriminalität
Die explosionsartige Ausbreitung von Infostealer-Malware führt zu einem Anstieg von gestohlenen Zugangsdaten, Session-Hijacking und Unternehmensverletzungen.
- Die Zahl der Infostealer-Angriffe stieg um 58 Prozent, wobei mehr als 10 Millionen gestohlene Anmeldedaten auf Untergrundmärkten für Cyberkriminalität zum Verkauf angeboten wurden.
- AgentTesla, Lumma Stealer und FormBook gehörten zu den größten Malware-Bedrohungen in der EMEA-Region und zielten häufig auf VPN-Anmeldedaten und Authentifizierungs-Token ab.
- Session Hijacking ist heute eine der wichtigsten Techniken zur Umgehung der Multi-Faktor-Authentifizierung (MFA), die es Angreifern ermöglicht, sich dauerhaft Zugang zu Unternehmensumgebungen zu verschaffen.
„Cyberkriminelle brechen nicht mehr nur in Systeme ein, sondern verkaufen auch den Zugang zu diesen. Der Aufstieg von Infostealern und Initial Access Brokern hat eine Schattenwirtschaft geschaffen, auf dem gestohlene Zugangsdaten eine größere Bandbreite von Cyberangriffen, einschließlich Ransomware und Finanzbetrug, ermöglichen,“ sagt Sergey Shykevich, Group Manager of Threat Intelligence bei Check Point Software.
Cloud- und Edge-Schwachstellen erweitern die Angriffsfläche
Hybride Cloud-Umgebungen werden zum Rückgrat moderner Unternehmen, deshalb nutzen Angreifer Fehlkonfigurationen, schwache Zugriffskontrollen und Schwachstellen in Edge-Geräten aus, um sich einen ersten Zugang zu verschaffen.
o Fehlkonfigurationen in der Cloud führten zu mehreren aufsehenerregenden Datenschutzverletzungen, bei denen Daten von Behörden, aus dem Gesundheitswesen und dem Finanzsektor preisgegeben wurden.
o Bedrohungsakteure nutzten Schwachstellen bei der Einzelanmeldung (Single Sign On, SSO) aus, um sich in Cloud-Umgebungen bewegen zu können.
o Von China unterstützte APTs nutzten kompromittierte IoT- und VPN-Geräte als Operational Relay Boxes (ORBs), um sich dauerhaft Zugang zu globalen Netzwerken zu verschaffen.
„Unternehmen müssen die Cloud-Sicherheit neu überdenken. Angreifer dringen nicht mehr nur in lokale Systeme ein, sondern dringen in Cloud-Umgebungen ein, zielen auf Anmeldeinformationen ab und nutzen legitime Mechanismen, um bidirektionale Seitwärtsbewegungen zu erleichtern. Ein proaktiver Sicherheitsansatz ist entscheidend,” sagt Michael Abramzon, Threat Intelligence & Research Architect bei Check Point Software.
#CheckPoint
