Die aktuelle Mandiant-Analyse „M-Trends 2025“ von Google Cloud liefert umfassende Einblicke in globale Cyberbedrohungen des Jahres 2024. Der Bericht zeigt auf, wie Angreifer zunehmend Schwachstellen, gestohlene Zugangsdaten und unzureichend gesicherte Cloud-Umgebungen ausnutzen, um ihre Ziele zu verfolgen. ITWelt.at hat sich die Studie angesehen. [...]
Besonders auffällig ist die zunehmende Verbreitung von Infostealer-Malware und gezielten Angriffen auf schlecht gesicherte Datenspeicher. Auch die Rolle nordkoreanischer IT-Arbeiter als potenzielle Insider-Bedrohung rückt stärker in den Fokus. Mandiant stützt sich dabei auf über 450.000 Stunden an weltweiten Incident-Response-Einsätzen und stellt detaillierte Analysen zu Angriffstechniken, Angreifergruppen und branchenspezifischen Risiken zur Verfügung.
Exploits als Haupteinstiegsweg – Rückgang bei Phishing
Im fünften Jahr in Folge stellen Sicherheitslücken (Exploits) die häufigste Eintrittspforte für Angriffe dar. In 33 Prozent der untersuchten Vorfälle im Jahr 2024 begann der Angriff mit der Ausnutzung einer Schwachstelle. Im Vergleich zum Vorjahr (38 Prozent) ist dies ein leichter Rückgang, liegt aber weiterhin auf hohem Niveau. Auffällig ist, dass gestohlene Zugangsdaten mit einem Anteil von 16 Prozent nun häufiger als E-Mail-Phishing (14 Prozent) zur Erstinfektion genutzt werden. Damit setzt sich ein Trend fort, der die Bedeutung robuster Authentifizierungsmechanismen wie FIDO2-konformer Multi-Faktor-Authentifizierung (MFA) unterstreicht.
Gleichzeitig haben Web-Komponentenkompromittierungen zugenommen – ihr Anteil stieg von 5 Prozent im Jahr 2023 auf 9 Prozent im Jahr 2024. Dazu zählen unter anderem manipulierte Webseiten oder bösartige Werbung, die Nutzer zu Schadsoftware leiten.
Zielsektoren: Finanzwirtschaft bleibt am stärksten betroffen
Mit 17,4 Prozent der Fälle bleibt der Finanzsektor das am häufigsten angegriffene Segment. Dahinter folgen Business- und Professional Services (11,1 Prozent), High-Tech-Unternehmen (10,6 Prozent), Regierungsbehörden (9,5 Prozent) sowie der Gesundheitsbereich (9,3 Prozent). Diese Branchen stehen traditionell im Fokus von Cyberangriffen, was sich auch in den Daten für 2024 bestätigt.
Ransomware und Erpressung: Schnelligkeit als Geschäftsmodell
Etwa ein Fünftel (21 Prozent) aller untersuchten Vorfälle war ransomwarebezogen. Diese Angriffe zeichnen sich durch kurze Verweildauer aus – 56,5 Prozent wurden innerhalb einer Woche entdeckt. Auffällig ist, dass Angreifer in 49 Prozent der Fälle selbst die Kompromittierung offenlegten, meist in Form von Erpressungsschreiben. Die häufigsten Eintrittswege in diesen Fällen waren Brute-Force-Angriffe (26 Prozent), gestohlene Zugangsdaten (21 Prozent) und Exploits (21 Prozent).
Ransomware wie BEACON, RANSOMHUB, REDBIKE (auch bekannt als Akira), BASTA und LOCKBIT dominieren das Malware-Feld. BEACON, ein Bestandteil des Cobalt Strike Frameworks, bleibt trotz rückläufiger Verbreitung das am häufigsten beobachtete Tool.
Neue Malware-Familien: Fokus auf Backdoors und Download-Tools
Mandiant hat im Jahr 2024 insgesamt 632 neue Malware-Familien identifiziert, wovon 205 auch in Incident-Response-Untersuchungen beobachtet wurden. Ein Großteil (76 Prozent) dieser neuen Familien ist ausschließlich auf Windows-Systeme ausgerichtet, während der Anteil von Linux-Malware langsam steigt. Dominierend unter den neuen Varianten sind Backdoors (31 Prozent), gefolgt von Downloadern (19 Prozent) und Droppern (12 Prozent).
Die fortgesetzte Nutzung bereits bekannter Malware und legitimer Tools zur Systemmanipulation zeigt, dass Angreifer zunehmend auf vorhandene Software zurückgreifen, um ihre Aktivitäten zu verschleiern.
Cloud im Visier: Schwache Absicherung öffnet Angriffsflächen
In 66 Prozent der Cloud-bezogenen Angriffe wurde ein Datendiebstahl festgestellt. Fast 40 Prozent der Angriffe verfolgten finanzielle Ziele – etwa durch Business E-Mail Compromise (BEC), Ransomware oder einfache Datenerpressung. Hauptangriffsvektoren sind E-Mail-Phishing (39 Prozent) und gestohlene Zugangsdaten (35 Prozent). SIM-Swapping und Vishing trugen mit jeweils 6 Prozent ebenfalls zur Kompromittierung bei.
Die Angreifergruppen UNC3944 und UNC5537 nutzten unter anderem gestohlene Credentials oder soziale Manipulation von Helpdesk-Mitarbeitern, um Zugriff auf Cloud-Umgebungen zu erhalten. Diese Gruppen verwendeten legitime Werkzeuge wie Rclone oder Metasploit zur Datensicherung und weiteren Verwertung.
Insider-Bedrohung durch nordkoreanische IT-Arbeiter
Eine neue Bedrohung ergibt sich aus nordkoreanischen IT-Fachkräften, die unter falschen Identitäten international als Remote-Mitarbeiter tätig sind. Diese Personen werden laut Mandiant als UNC5267 klassifiziert und sollen unter anderem in Finanz- und Technologieunternehmen eingeschleust worden sein. Während sie zunächst im Rahmen ihrer Aufgaben agieren, kam es in einigen Fällen zu Datenabflüssen und versuchten Erpressungen nach Aufdeckung der Identitäten.
Geopolitische Akteure und neue APT-Gruppen
2024 hat Mandiant zwei neue Gruppen als Advanced Persistent Threats (APT) eingestuft: APT44 (vermutlich russischer Herkunft, aktiv gegen ukrainische und westliche Ziele) sowie APT45 (vermutlich nordkoreanisch, mit Fokus auf finanzielle Operationen und gezielte Angriffe auf kritische Infrastrukturen). Insgesamt verzeichnet Mandiant über 4.500 beobachtete Gruppen – 737 neue Cluster wurden allein 2024 erstmals identifiziert.
Finanziell motivierte Gruppen machen mittlerweile 55 Prozent aller beobachteten Angreifer aus, während lediglich 8 Prozent eindeutig einer Spionageabsicht zugeordnet werden konnten. In 35 Prozent der Fälle ließ sich kein klares Motiv identifizieren.
Taktiken und Techniken: Fokus auf Skript-Interpreter und externe Remote-Dienste
Die am häufigsten beobachtete Technik war 2024 erneut die Verwendung von Skript- und Kommandozeileninterpreter (z. B. PowerShell), was auf eine breite Nutzung von Taktiken zur interaktiven Systemkontrolle hinweist. Ebenfalls stark vertreten ist das Verschlüsseln von Daten zur Erpressung („Data Encrypted for Impact“), was mit der Zunahme von Ransomware-Angriffen korrespondiert. Die Nutzung externer Remote-Dienste (z. B. VPN-Zugänge) für initiale Zugriffe hat ebenfalls stark zugenommen.
Das Fazit der ITWelt-Redaktion
Die Mandiant M-Trends 2025 Studie liefert ein fundiertes Lagebild der Cyberbedrohungen des vergangenen Jahres und zeigt deutlich, wie vielfältig und professionell das Vorgehen von Angreifern geworden ist. Besonders die Zunahme legitimer Werkzeuge zur Kompromittierung sowie die stärkere Rolle von Social Engineering und Insider-Bedrohungen verdeutlichen, dass technischer Schutz allein nicht ausreicht. Unternehmen müssen nicht nur technische Maßnahmen umsetzen, sondern auch ihre organisatorischen Abläufe und Schulungen regelmäßig aktualisieren, um Angreifern keinen Raum zu bieten.
Die Studie kann hier heruntergeladen werden.
Be the first to comment