Ontinue hat seinen Threat Intelligence Report für das erste Halbjahr 2025 veröffentlicht: Die Ergebnisse zeigen einen deutlichen Anstieg von Cyberangriffen, die Multi-Faktor-Authentifizierung (MFA) umgehen. Zudem nutzen Hacker offene Sicherheitslücken immer schneller und effektiver aus.
Ransomware und Identity-Attacken als häufigste Bedrohungen
Das Advanced Threat Operations-Team (ATO) von Ontinue hat mit dem aktuellen Threat Intelligence Report einmal mehr die aktuelle Sicherheitslage im Cyberspace unter die Lupe genommen. Im Zuge seiner Untersuchungen haben die Experten unter anderem aktuelle Ransomware-Aktivitäten, die Rolle von Phishing-as-a-Service (PhaaS) sowie den Einsatz von Infostealer-Malware analysiert. Auch eine Übersicht über derzeit aktive Advanced-Persistent-Threats-Gruppen (APT), also Hackerkollektive, die langfristige und hochprofessionelle Angriffe durchführen, ist Teil des Reports.
Wenig überraschend ist, dass Ransomware-Attacken weiterhin die größte Bedrohung darstellen. Trotz des Rückgangs von Lösegeldzahlungen um rund 35 Prozent im Vergleich zum Vorjahr wurden im ersten Halbjahr 2025 über 4.000 Ransomware-Vorfälle gemeldet. Für die meisten Vorfälle waren die in der IT-Welt berüchtigten RaaS (Ransomware-as-a-Service)-Gruppen CL0P, QILIN und AKIRA verantwortlich. Während CL0P für großangelegte Massenexploits von Schwachstellen bekannt ist, war das Kollektiv AKIRA in der Vergangenheit eher mit gezielten Angriffen aufgefallen. QILIN bietet im Darknet individuell anpassbare Malware an und gilt bei Lösegeldverhandlungen als äußerst hartnäckig und professionell.
Allerdings scheint sich die Hackerszene langsam aber sicher nach Alternativen zu Ransomware umzuschauen. Cyberkriminelle setzen etwa zunehmend auf identitätsbasierte Attacken, versuchen also vermehrt Benutzerkonten oder digitale Identitäten zu übernehmen. Ziel solcher Angriffe ist es, durch gestohlene Passwörter und Tokens auf Cloud-Ressourcen sowie sensible Informationen zuzugreifen. Aktuell versuchen Hacker allerdings durch elaborierte Phishing-Attacken auch an Authentifizierungs- oder Refresh-Tokens zu gelangen. Rund 20 Prozent der aktuellen Vorfälle beinhalteten die Wiederverwendung gestohlener Tokens. Auf diese Weise ist es möglich, Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung effektiv zu umgehen, selbst nach einem Passwort-Reset.
Die Gefahr lauert in diesem Zusammenhang nach wie vor häufig in E-Mail-Anhängen. Da Unternehmen allerdings ihre Mitarbeitenden mittlerweile vor gefährlichen und kompromittierten Office Dateien warnen, haben Cyberkriminelle ihre Taktik geändert. Laut Threat Intelligence Report lagen mehr als 70 Prozent der gefährlichen Anhänge, die Secure-Email-Gateways umgingen, in Formaten wie SVG oder IMG vor und nicht mehr in klassischen Office-Dokumenten.
Vorsicht in der Cloud und vor Ort
Cloud-Persistenz ist ebenfalls auf dem Vormarsch. Bei fast 40 Prozent der von Ontinue untersuchten Angriffe auf die Azure-Cloud von Microsoft setzten Hacker mehrere Methoden gleichzeitig ein, um möglichst lange unentdeckt in infiltrierten Systemen agieren zu können: Sie legen beispielsweise manipulierte Apps an und geben ihnen Zugangsrechte. Ist eine solche im System integriert, können Hacker sie mit Automation Jobs oder Runbooks ausstatten. Die App führt dann regelmäßig bösartigen Code aus oder erneuert die Zugänge der Cyberkriminellen.
Durch sogenannte Role Escalation versuchen Hacker zudem, ihre Zugriffsrechte zu erweitern, um noch tiefer in fremde Systeme einzudringen. Cyberkriminelle versuchen überdies in infiltrierten Systemen die Übertragung sicherheitsrelevanter Telemetriedaten an zentrale SIEM (Security Incident and Event Management)-Plattformen zu unterdrücken. In Fällen, in denen das gelang, lag die mittlere Verweildauer der Hacker im System bei über 21 Tagen – ein langer Zeitraum, um Schaden anzurichten.
Abgesehen davon zeigt der Threat Intelligence Report, dass Cyberkriminelle auch „klassische“ Methoden längst nicht ad acta gelegt haben: So erlebt über USB-Ports eingeschleuste Schadsoftware, die auf manipulierten Wechseldatenträgern lauert, eine regelrechte Renaissance. Das ATO-Team von Ontinue stellte einen Anstieg um 27 Prozent gegenüber dem Vorjahr fest, sodass das Risiko durch externe Devices hoch bleibt.
Handlungsempfehlungen für mehr Cybersicherheit
Der Threat Intelligence Report enthält jedoch nicht nur Informationen zu aktuellen Bedrohungen, sondern auch konkrete Handlungsempfehlungen: Unternehmen sollten etwa Phishing-resistente MFA-Mechanismen wie FIDO2 oder Passkeys implementieren. Zudem betont das ATO-Team die Notwendigkeit, reale Bedrohungsinformationen in Sicherheitstests einzubinden, damit Abwehrmechanismen den aktuellen Taktiken der Angreifer standhalten: Simulierte Tests oder isolierte Schutzmaßnahmen reichen in der Regel nicht aus. Darüber hinaus bleiben Sicherheitsgrundsätze wie die Einschränkung der USB-Nutzung, gehärtete Konfigurationen und regelmäßige Mitarbeiterschulungen unverzichtbar.
„Cyberkriminelle agieren heute schneller und flexibler als Unternehmen. Sie wechseln Taktiken, Ziele und Werkzeuge innerhalb von Wochen, nicht Monaten“, warnt Craig Jones, Chief Security Officer bei Ontinue. „Im ersten Halbjahr 2025 haben wir gesehen, wie Ransomware-Gruppen trotz zahlreicher Zerschlagungen weitermachen, PhaaS-Dienste global skalieren und staatlich unterstützte Akteure den Privatsektor mit wachsender Präzision ins Visier nehmen. Sicherheit darf nicht als einmaliges Projekt verstanden werden, sondern muss zum kontinuierlichen, erkenntnisgetriebenen Prozess reifen.“
Den Report könne sie als PDF hier herunterladen.
