Google warnt vor zunehmender Raffinesse bei Cyberangriffen: Angreifer nutzen verstärkt Zero-Day-Exploits zur Kompromittierung von Systemen

24. April 2025

Das Mandiant-Team von Google hat seinen Bericht „M-Trends 2025“ veröffentlicht, in dem die zunehmende Raffinesse der Bedrohungsakteure, insbesondere der mit China verbundenen Gruppen, hervorgehoben wird.

Diese Gegner setzen maßgeschneiderte Malware-Ökosysteme ein, nutzen Zero-Day-Schwachstellen in Sicherheitsanwendungen aus und verwenden Proxy-Netzwerke, die Botnets ähneln, um der Erkennung zu entgehen.

Zu ihren Taktiken gehören auch Angriffe auf Edge-Geräte ohne Endpoint Detection and Response (EDR)-Funktionen und der Einsatz maßgeschneiderter Verschleierungstechniken in Malware.

Eine der Methoden, mit denen Bedrohungsakteure mit der sich ständig weiterentwickelnden Cyberabwehrlandschaft Schritt halten, besteht darin, ihre Angriffe immer raffinierter zu gestalten. Dieser Trend lässt sich in vielen unserer Einsätze beobachten, insbesondere bei der Reaktion auf Gruppen mit Verbindungen zu China. Diese Akteure haben ihre Fähigkeit unter Beweis gestellt, maßgeschneiderte Malware-Ökosysteme zu erstellen, Zero-Day-Schwachstellen in Sicherheits- und anderen Anwendungen zu identifizieren und auszunutzen, Proxy-Netzwerke ähnlich wie Botnets zu nutzen, Edge-Geräte und -Plattformen anzugreifen, die traditionell keine Endpunkt-Erkennung und -Reaktion bieten, und maßgeschneiderte Verschleierungsprogramme in ihrer Malware einzusetzen. Sie unternehmen diese zusätzlichen Schritte, um der Erkennung zu entgehen, Analysen zu behindern und letztendlich länger in den Systemen zu verbleiben.

Allerdings sind nicht alle erfolgreichen Angriffe hochkomplex und technisch anspruchsvoll. Oftmals nutzen Angreifer die sich ihnen bietenden Gelegenheiten. Dazu gehört auch die Verwendung von Anmeldedaten, die bei Infostealer-Operationen gestohlen wurden, um sich ersten Zugriff zu verschaffen. Mandiant hat einen solchen Anstieg der Infostealer-Nutzung beobachtet, dass gestohlene Anmeldedaten mittlerweile den zweitgrößten Anteil an Erstinfektionen ausmachen und 16 % unserer Untersuchungen ausmachen. Weitere Möglichkeiten, die Angreifer nutzen, sind die Ausnutzung von Lücken und Risiken, die bei Cloud-Migrationen entstehen, sowie das Anvisieren ungesicherter Datenspeicher, um Anmeldedaten und andere sensible Informationen zu erlangen.

Heute haben wir M-Trends 2025 veröffentlicht, die 16. Ausgabe unseres Jahresberichts, der Unternehmen dabei helfen soll, allen Arten von Angriffen einen Schritt voraus zu sein. Wir befassen uns eingehend mit verschiedenen Trends und teilen Daten und Analysen aus der Praxis unserer Incident-Response-Einsätze, um Verteidiger mit wichtigen Erkenntnissen über die neuesten Cyberbedrohungen zu versorgen.

Daten und Trends

Die Daten von M-Trends 2025 basieren auf mehr als 450.000 Stunden Untersuchungen von Mandiant Consulting. Die Kennzahlen basieren auf Untersuchungen gezielter Angriffe, die zwischen dem 1. Januar 2024 und dem 31. Dezember 2024 durchgeführt wurden. Zu den wichtigsten Ergebnissen von M-Trends 2025 gehören:

• 55 % der im Jahr 2024 aktiven Bedrohungsgruppen waren finanziell motiviert, was einen stetigen Anstieg bedeutet, und 8 % der Bedrohungsgruppen waren durch Spionage motiviert.
• Exploits sind weiterhin der häufigste Vektor für Erstinfektionen (33 %), und zum ersten Mal stiegen gestohlene Anmeldedaten im Jahr 2024 auf den zweiten Platz (16 %).
• Zu den am stärksten betroffenen Branchen zählen Finanzdienstleistungen (17,4 %), Unternehmens- und Fachdienstleistungen (11,1 %), Hightech (10,6 %), Behörden (9,5 %) und das Gesundheitswesen (9,3 %).
• Die globale mittlere Verweildauer stieg von 10 Tagen im Jahr 2023 auf 11 Tage. Die globale mittlere Verweildauer betrug 26 Tage, wenn externe Stellen benachrichtigt wurden, 5 Tage, wenn die Angreifer selbst benachrichtigten (insbesondere in Ransomware-Fällen), und 10 Tage, wenn Unternehmen die böswilligen Aktivitäten intern entdeckten.

M-Trends 2025 befasst sich eingehend mit den oben genannten Trends in den Bereichen Infostealer, Cloud und ungesicherte Datenspeicher sowie mit verschiedenen anderen Themen, darunter

• Die Demokratische Volksrepublik Korea setzt Bürger als Remote-IT-Auftragnehmer ein und nutzt falsche Identitäten, um Einnahmen zu generieren und nationale Interessen zu finanzieren.
• Iran-nahe Bedrohungsakteure, die 2024 ihre Cyberoperationen verstärken, insbesondere gegen israelische Einrichtungen, und dabei verschiedene Methoden einsetzen, um die Erfolgsquote ihrer Angriffe zu verbessern.
• Angreifer, die auf cloudbasierte Speicher zentraler Behörden wie Single-Sign-On-Portale abzielen, um sich umfassenden Zugriff zu verschaffen.
• Verstärkte Angriffe auf Web3-Technologien wie Kryptowährungen und Blockchains zum Diebstahl, zur Geldwäsche und zur Finanzierung illegaler Aktivitäten.

Empfehlungen für Unternehmen

Jeder Artikel in M-Trends 2025 enthält wichtige Empfehlungen für Unternehmen zur Verbesserung ihrer Cybersicherheit, von denen einige für mehrere Trends gelten. Wir empfehlen Unternehmen Folgendes:

• Implementieren Sie einen mehrschichtigen Sicherheitsansatz, der solide Grundlagen wie Schwachstellenmanagement, geringste Berechtigungen und Hardening in den Vordergrund stellt.
• Setzen Sie eine FIDO2-konforme Multi-Faktor-Authentifizierung für alle Benutzerkonten durch, insbesondere für privilegierte Konten.
• Investieren Sie in fortschrittliche Erkennungstechnologien und entwickeln Sie robuste Pläne für die Reaktion auf Vorfälle.
• Verbessern Sie Ihre Protokollierungs- und Überwachungspraktiken, um verdächtige Aktivitäten zu identifizieren und die Verweildauer zu reduzieren.
• Erwägen Sie Threat-Hunting-Übungen, um proaktiv nach Anzeichen für Kompromittierungen zu suchen.
• Implementieren Sie strenge Sicherheitskontrollen für Cloud-Migrationen und -Bereitstellungen.
• Bewerten und prüfen Sie Cloud-Umgebungen regelmäßig auf Schwachstellen und Fehlkonfigurationen.
• Mindern Sie Insiderrisiken durch gründliche Überprüfungsprozesse für Mitarbeiter (insbesondere Remote-Mitarbeiter), die Überwachung verdächtiger Aktivitäten und die Durchsetzung strenger Zugriffskontrollen.
• Halten Sie sich über die neuesten Bedrohungsinformationen auf dem Laufenden, passen Sie Ihre Sicherheitsstrategien entsprechend an und überprüfen und aktualisieren Sie regelmäßig Ihre Sicherheitsrichtlinien und -verfahren, um auf neue Bedrohungen reagieren zu können.

Seien Sie bereit zu reagieren

Die Mission von M-Trends war es schon immer, Sicherheitsexperten mit aktuellen Einblicken in die neuesten Cyberangriffe zu versorgen und ihnen praktische und umsetzbare Erkenntnisse für eine bessere Unternehmenssicherheit zu vermitteln.

Lesen Sie noch heute den vollständigen M-Trends 2025-Bericht und registrieren Sie sich für unsere M-Trends 2025-Webinarreihe, um einen tieferen Einblick in die Daten, Themen und Empfehlungen des Berichts zu erhalten. Die M-Trends 2025 Executive Edition ist ebenfalls verfügbar und bietet einen Überblick über die Daten und Trends sowie wichtige Empfehlungen.

Quelle: Google Cloud-Blog