logo ntadmins

Sophos Threat Report 2025: Schlendrian an den Netzwerkgrenzen torpediert die Cyber-Resilienz

24. April 2025
Abstract Red Binary Software Programming Code Background Malicious Hack Malware Ransomware Concept Data Leak Breach Random Binary Data Matrix Wide Vector Illustration
Quelle: ec0de, Adobe Stockphoto

Ransomware ist weiterhin der Platzhirsch – die Angriffsart machte 90 Prozent der Sophos Incident Response Vorfälle bei mittelständischen Unternehmen 2024 aus. Immer mehr Geräte sind im EOL-Modus (Ende der Lebenszyklus), also ohne Unterstützung vom Hersteller, aktiv und sorgen so für immer mehr „digitalen Detrius“, der die Arbeit der Sicherheitsverantwortlichen erschwert.

Ransomware machte 2024 etwa 70 Prozent der Sophos Incident Response-Fälle bei kleinen Unternehmenskunden aus. Bei mittelständischen Unternehmen von 500 bis 5000 Mitarbeitern lag dieser Wert sogar bei und über 90 Prozent. 25 Prozent der durch die Telemetrie bestätigten initialen Kompromittierungen gingen von Netzwerk-Edge-Geräten aus – Firewalls, virtuelle private Netzwerkgeräte und andere Zugangsgeräte.

Die tatsächliche Zahl dürfte noch einmal deutlich höher sein. Entsprechend sind auch die fünf beliebtesten Einfallstore für Kriminelle zum Großteil an den Netzwerkgrenzen zu finden: VPN Exploits (19 Prozent aller untersuchten Fälle) liegt mit großem Abstand auf Platz 1, gefolgt von kompromittierten Zugangsdaten (10,4 Prozent), den Remote Access Tools RDP und RDWeb (8 Prozent), Phishing (6,7 Prozent) und anderen Netzwerkgeräte (3 Prozent).

All diese Ergebnisse stammen aus dem „Annual Threat Report: Cybercrime on Main Street 2025“ von Sophos. Die Cybersecurity-Fachteams analysieren darin die im Jahr 2024 angesammelten Telemetriedaten aus Sophos-Lösungen, Incident-Response-Fällen sowie MDR-Services.

In den letzten Jahren haben Angreifer gezielt Edge-Geräte ins Visier genommen. Erschwerend kommt hinzu, dass immer mehr Geräte am Ende ihrer Lebensdauer (EOL) im Umlauf sind – ein Problem, das Sophos als „digitalen Detrius“, also die Infrastruktur „zumüllende Zerfallsprodukte“, bezeichnet.

Da diese Geräte dem Internet ausgesetzt sind und Patches oft nur eine geringe Priorität haben, sind sie für Kriminelle ein hochattraktives Ziel, um in Netzwerke einzudringen. Der Angriff auf Edge-Geräte ist jedoch nur Teil eines größeren Wandels, den wir beobachten: Angreifende müssen keine maßgeschneiderte Malware mehr einsetzen. Stattdessen können sie die Systeme von Unternehmen ausnutzen, deren Agilität erhöhen und sich an Orten verstecken, wo Sicherheitsverantwortliche nicht hinsehen.

Weitere wichtige Ergebnisse des Berichts:

  • Multifaktor-Authentifizierung (MFA) reicht immer häufiger nicht mehr aus. Angreifer umgehen MFA durch die Erfassung von Authentifizierungstoken. Dabei nutzen die Kriminellen eine Phishing-Plattform, um den Authentifizierungsprozess zu imitieren und die Anmeldedaten des Ziels zu erfassen.
  • Die Top-3-Ransomwarefamilien, die 2024 beobachtet wurden sind Akira (15,3 Prozent aller untersuchten Fälle), Lockbit (13,6 Prozent) und Fog (10,9 Prozent). Über alle Malware-Gruppen hinweg liegen die Comand-and-Control-Angriffe vorne. Web Shell belegt mit 9,8 Prozent Platz 1, gefolgt von Cobalt Strike mit 8 Prozent und dem Ransomware-Anführer Akira mit 4,9 Prozent.
  • Angreifer bevorzugen kommerzielle Remote-Access-Tools. Die am häufigsten missbrauchten legitimen und vertrauenswürdigen Tools waren PSExec (18,3 Prozent aller untersuchten Fälle) und AnyDesk (17,4 Prozent). Insgesamt waren Remote Access Tools in 34 Prozent der IR/MDR-Fälle involviert.
  • Cyber-Kriminelle entwickeln ihre Social-Engineering-Taktiken weiter. Sie missbrauchen zunehmend QR-Codes (Quishing) und Telefonnachrichten (Vishing), um Unternehmen zu kompromittieren. Sie nutzen außerdem E-Mail-Bombing – eine Taktik, bei der innerhalb von ein bis zwei Stunden Tausende von Spam-E-Mails versendet werden.
  • Software-as-a-Service-Plattformen, die während der COVID-Pandemie von Unternehmen häufig eingesetzt wurden, um Remote-Arbeit zu unterstützen und die allgemeine Sicherheitslage zu verbessern, werden weiterhin auf neue Weise für Social Engineering, initiale Kompromittierung und die Verbreitung von Malware missbraucht.
  • Kompromittierungen von Business-E-Mails machen einen wachsenden Anteil der initialen Kompromittierungen bei Cyber-Sicherheitsvorfällen aus – genutzt für die Verbreitung von Malware, den Diebstahl von Anmeldeinformationen und Social Engineering für eine Vielzahl krimineller Zwecke.

Sean Gallagher ist Principal Threat Researcher bei Sophos.

Sophos

Lesen Sie auch

Chatbots: AI technology, conversational interfaces, natural language processing, user engagement, service efficiency Businessman analyzing chatbots progress chart on digital interface

Künstliche Intelligenz befeuert Anstieg schwer zu erkennender Bots

A professional in the field of Enterprise Resource Planning (ERP) using a tablet with a digital interface overlay showing inventory management, supply chain analytics, technology graphs tracking sales

Software-Lieferkette braucht mehr Sicherheit

Abbildung Schematische Darstellung des Ablaufs der aktuellen APT Kampagne (Check Point Software Technologies Inc )

Studie: Anzahl der Ransomware-Angriffe geht durch die Decke