logo ntadmins

Einbruch war gestern: Hacker loggen sich heute einfach ein

1. April 2026
Ontinue Threat Intel Report
Zentrale Erkenntnis des Threat Intelligence Report: Cyber-Kriminelle setzen zunehmend auf Identitätsangriffe; Quelle: Ontinue, Getty Images

Cyber-Kriminelle setzen auf Identitätsangriffe. Statt Schwachstellen in Systemen anzugreifen, nutzen sie heute eher kompromittierte Zugangsdaten oder missbrauchen digitale Identitäten und vertrauenswürdige Integrationen, um sich Zugang zu ihnen zu verschaffen. Zu diesem Ergebnis kommt der Threat Intelligence Report für das zweite Halbjahr 2025 von Ontinue.

Der Threat Intelligence Report des ATO (Advanced Threat Operations)-Teams von Ontinue zeigt, dass Angriffe auf digitale Identitäten bei Sicherheitsuntersuchungen mittlerweile dominieren. Zu den typischen Arten von Cyber-Attacken gehören AiTM (Adversary in the Middle)-Angriffe, Passwort-Spraying sowie das Suchen und anschließende Ausnutzen von unbeabsichtigt veröffentlichten Secrets wie Client-Passwörter.

Cyber-Kriminelle nutzen die auf diese Weise gekaperten Zugangsdaten, um direkt auf Cloud-Umgebungen und interne Unternehmenssysteme zuzugreifen, anstatt Schwachstellen in Software auszunutzen. In diesem Zusammenhang spielen Infostealer eine zentrale Rolle: Malware-Familien wie LummaC2 sammeln Passwörter im Browser, Cookies und Authentifizierungs-Tokens von infizierten Systemen.

Die gestohlenen Zugangsdaten fassen die Tools überdies zu „Logs“ zusammen, die dann den Weg auf Verkaufsplattformen im Darknet finden. Auf diese Weise erhalten auch Cyber-Kriminelle ohne Hacking-Erfahrung auf einfachste Weise Zugangsdaten zu Unternehmensumgebungen.

Laut dem aktuellem Threat Intelligence Report ist die Anzahl von Listen gestohlener Zugangsdaten, die sich auf einen Missbrauch durch LummaC2-Malware zurückführen lassen, um 72 Prozent gestiegen. Schon ein einziger gestohlener Zugang zu internen Unternehmensumgebungen kann pro Konto Tausende von Euro einbringen. Somit ist der Diebstahl von Zugangsdaten derzeit einer der profitabelsten Hacks.

Ransomware bleibt bedrohlich, GenAI-Einsatz steigt

Trotz eines moderaten Rückgangs nachweisbarer Ransomware-Zahlungen von rund 770 Mio. Euro in 2024 auf 708 Mio. Euro in 2025, steigt die Anzahl der Angriffe weiter. Das ATO-Team von Ontinue zählt über 7.000 weltweit gemeldete Ransomware-Vorfälle in 2025, die mehr als 120 aktive Ransomware-Gruppen in unterschiedlichen Branchen lancierten.

Für ihre aktuellen Ransomware-Kampagnen kombinieren Cyber-Kriminelle zunehmend mehrere Druckmittel, wie die Analysten herausfanden. Zum Repertoire der Hacker gehören Datendiebstahl, Betriebsstörungen, DDoS (Distributed Denial of Service)-Angriffe wie auch die direkte Einschüchterung von Mitarbeitenden oder Kunden von Zielunternehmen. Diese Taktiken bezeichnen Experten als Double-, Triple- oder sogar Quadruple-Extortion.

Der Threat Intelligence Report zeigt überdies erste Anzeichen dafür, dass Bedrohungsakteure generative KI (GenAI) nutzen, um die Entwicklung bösartiger Tools zu beschleunigen. Die Analyse mehrerer wiederhergestellter Webshells und Commodity-Malware-Samples zeigte Programmiermuster, die auf LLM-unterstützte Entwicklung hinweisen.

Die Analysten fanden beispielsweise ausführliche erläuternde Kommentare, duplizierte Funktionen durch iteratives Prompting und visuell aufbereitete Oberflächen bei unsicheren Implementierungen. Obwohl adversariale KI derzeit noch in den Kinderschuhen steckt und kein dominanter Angriffsvektor ist, weist das ATO-Team von Ontinue darauf hin, dass GenAI die technische Barriere für die Entwicklung funktionaler Malware und Angriffsinfrastruktur deutlich senken wird.

Ausweitung von Angriffen auf Lieferketten, SaaS und Infrastrukturen

Die Risiken im Zusammenhang mit Software-Lieferketten und Cloud-Integrationen nehmen ebenfalls zu. Hacker versuchen zunehmend über Entwicklungspipelines, SaaS-Plattformen und Drittanbieter, indirekten Zugang zu Unternehmensumgebungen zu erlangen. Solche Angriffe können sich schnell über vertrauenswürdige Ökosysteme ausbreiten und es Angreifern ermöglichen, mehrere Organisationen gleichzeitig zu kompromittieren.

Neben identitätsgetriebenen Angriffen dokumentiert der aktuelle Threat Intelligence Report zu guter Letzt auch einen dramatischen Anstieg infrastruktureller Bedrohungen. DDoS-Kampagnen erreichten Spitzenwerte von 31,4 Terabit pro Sekunde, angetrieben durch Botnets mit über 500.000 kompromittierten Systemen. Diese Angriffe zeigen die wachsende Größe und Automatisierungskapazität heutiger Bedrohungsakteure.

Balazs Greksza ist Director of Advanced Threat Operations bei Ontinue.

Ontinue

Lesen Sie auch

ai generated nt pixa geralt

Mehr als nur Schutz vor Ransomware

security NT Pixa Elchinator

Phish Alert Button für Microsoft Teams

b

Achtung, Manipulation — so missbrauchen Cyber-Kriminelle die KI