Arctic Wolf veröffentlicht seinen jährlichen „Arctic Wolf Threat Report“. Die Ergebnisse der neuesten Auflage des Berichts zeigen, wie Cyberkriminelle ihre Methoden anpassen, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen: Sie setzen bei Ransomware-Attacken verstärkt auf Datendiebstahl, verfeinern BEC-Betrügereien (Business-E-Mail-Compromise) und nutzen bekannte Schwachstellen aus, um Unternehmen weltweit zu infiltrieren.
Arctic Wolf betreibt eines der größten kommerziellen SOCs weltweit. Der Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gibt tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeigt weltweite Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen für das Jahr 2025.
Neues Ransomware-Geschäftsmodell auf dem Vormarsch: Daten stehlen statt verschlüsseln
Trotz verstärkter Strafverfolgung machen Ransomware-Attacken mit 44 % den größten Teil der erfassten IR-Fälle aus. Da Unternehmen immer bessere Backup-Strategien aufbauen und so eine schnellere Recovery möglich ist, haben Cyberkriminelle ihre Strategie angepasst und setzen bei ihren Angriffen nahezu immer Datenexfiltration ein. So stahlen die Angreifer in 96 % der analysierten Ransomware-Fälle Daten. Die Täter können die erbeuteten Daten dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen.
Besonders gefährdet für diese Art der Angriffe sind die Fertigungs-Industrie und das Gesundheitswesen, da hier die Toleranz für Ausfallzeiten besonders gering ist, Attacken erhebliche Schäden zur Folge haben und besonders im Gesundheitssektor sensible, personenbezogene Daten als Druckmittel zur Zahlung verwendet werden.
Die durchschnittlichen Lösegeldforderungen betragen ähnlich wie im Vorjahr 600.000 USD – ein lukratives Geschäft für Cyberkriminelle. Gleichzeitig haben die Auswertungen gezeigt, dass Opferunternehmen die geforderten Beträge mit Hilfe von professionellen Ransom-Verhandlern deutlich senken können. So mussten Unternehmen, die mit Arctic Wolf zusammenarbeiten, durchschnittlich nur 36 % des ursprünglich geforderten Betrags zahlen.
„Ransomware-Gruppen haben ihr Geschäftsmodell weiterentwickelt: Selbst, wenn es eine gute Backup-Strategie gibt, setzt die Drohung, gestohlene Kundendaten zu veröffentlichen oder weiterzuverkaufen, Unternehmen massiv unter Druck – oft mit verheerenden finanziellen und reputativen Folgen“, erklärt Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Diese Taktik macht klassische Backups als alleiniges Schutzmittel wirkungslos. Unternehmen müssen daher verstärkt auf umfassende Bedrohungserkennung, Zero-Trust-Strategien und proaktive Security-Operations-Ansätze setzen, um Angriffe frühzeitig zu identifizieren und Datenabflüsse zu verhindern.“
BEC: Angreifer folgen dem Geld
Business E-Mail Compromise ist eine Art von Phishing-Betrug per E-Mail, bei dem ein Bedrohungsakteur versucht, Mitglieder einer Organisation dazu zu bringen, beispielsweise Geldmittel oder vertrauliche Daten zu übermitteln (z. B. Account Compromise oder CEO-Fraud). BEC-Incidents machen 27 % der beobachteten IR-Fälle aus und sind damit weiterhin die zweithäufigste Betrugstaktik.
Im Fokus dieser Art des Cyberbetrugs stehen Organisationen, die im großen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungsbranche entfielen 26,5 % der BEC-IR-Fälle, etwa doppelt so viele wie auf die zweitplatzierte Branche Rechtswesen und Verwaltung. BEC-Angriffe machten damit sogar mehr als die Hälfte (53 %) der IR-Fälle im Finanz- und Versicherungswesen aus – die einzige Branche, in der BEC die Zahl der Ransomware-Vorfälle übertraf.
„Phishing und kompromittierte Zugangsdaten bleiben die Hauptursachen für BEC-Angriffe. KI ermöglicht Bedrohungsakteuren immer raffiniertere, personalisierte Attacken, sodass Awareness-Trainings allein nicht ausreichen, allen Vorfällen vorzubeugen – sie helfen aber, die Vielzahl unsauber ausgeführter Angriffe schnell zu erkennen. Unternehmen sollten deshalb neben Schulungen auch auf starke Zugangskontrollen setzen. Eine Kombination aus Passwortmanagement und moderner Multi-Faktor-Authentifizierung, etwa biometrischen Verfahren oder physischen Sicherheitsschlüsseln, ist entscheidend, um den unbefugten Zugriff effektiv zu verhindern“, erklärt Dr. Schmerl.
Wenige Schwachstellen werden überproportional oft ausgenutzt
Intrusions waren mit 24 % die dritthäufigste Ursache der aufgezeichneten IR-Fälle – ein deutlicher Anstieg gegenüber dem Vorjahr (14,8 %). So wurden 2024 über 40.000 Sicherheitslücken verzeichnet. Auch bei den kritischen und schwerwiegenden Schwachstellen gab es einen Anstieg um 134,46 %. Besonders betroffen waren auch hier wieder die Finanz- und Versicherungsbranche (15,3 %) sowie Bildungs- und gemeinnützige Institutionen (15,3 %).
In 76 % der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus, von denen alle bereits bekannte Sicherheitslücken waren, für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Die meisten dieser Vorfälle standen in Verbindung mit Remote-Access-Tools und von außen zugänglichen Systemen und Services. In einigen Fällen nutzten die Angreifer beispielsweise Fehlkonfigurationen wie offene Ports, von außen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten aus, um sich Zugang zu verschaffen. Dies zeigt deutlich, wie wichtig proaktives Patch-Management ist.
„Viele Unternehmen zögern mit der Implementierung von Patches, obwohl Schwachstellen längst bekannt und Updates verfügbar sind. Oft fehlen klare Prozesse, es gibt Bedenken wegen möglicher Betriebsunterbrechungen oder personelle Engpässe bestehen. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle“, so Dr. Schmerl. „Ein effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren. Fehlen die internen Ressourcen, um dies abzudecken, können Unternehmen mit Security-Partnern wie Arctic Wolf zusammenarbeiten, die sie langfristig dabei unterstützen, ihre Sicherheitslage zu verbessern.“
Info: Weitere Informationen und den kompletten Arctic Wolf Threat Report 2025 zum kostenlosen Download finden sich unter arcticwolf.com.
#ArcticWolf
