Saturday, April 26, 2025
Home Blog

Thesys introduces generative UI API for constructing AI apps

0

AI software program builder Thesys has launched C1 by Thesys, which the corporate describes as a generative UI API that makes use of massive language fashions (LLMs) to generate consumer interfaces on the fly.

Unveiled April 18, C1 by Thesys is offered for basic use. C1 lets builders flip LLM outputs into dynamic, clever interfaces in actual time, Thesys stated. In elaborating on the C1 know-how, Thesys stated enterprises now are racing to undertake AI, however constructing the entrance finish for AI brokers has remained a serious hurdle. Groups spend months and important assets designing and coding interfaces, solely to ship static, inconsistent, and often-disengaging consumer experiences, the corporate stated.

Generative UI permits LLMs to generate interactive interfaces in actual time, Thesys stated. Generative UI interprets pure language prompts, generates contextually related UI elements, and adapts dynamically based mostly on consumer interplay or state modifications. C1 can generate UI for any use case and any knowledge, permits UI generations to be guided by way of system prompts, helps integration with exterior instruments by way of perform calling, and helps all kinds of UI elements by way of its Crayon React framework, in line with Thesys.

Introducing Mobility AI: Advancing city transportation

1. Measurement: Understanding mobility patterns

Precisely evaluating the present state of the transportation community and mobility patterns is step one to bettering mobility. This includes gathering and analyzing real-time and historic information from numerous sources to know each present and historic situations and traits. We have to monitor the consequences of adjustments as we implement them within the community. ML powers estimations and metric computations, whereas statistical approaches measure impression. Key areas embody:

Congestion features

Just like well-known basic diagrams of visitors circulate, congestion features mathematically describe how rising car quantity will increase congestion and reduces journey speeds, offering essential insights into visitors conduct. In contrast to basic diagrams, congestion features are constructed primarily based on a portion of autos (e.g., floating automotive information) fairly than all touring autos. We now have superior the understanding of congestion formation and propagation utilizing an ML method that created city-wide fashions, which allow strong inference on roads with restricted information and, by analytical formulation, reveal how visitors sign changes affect circulate distribution and congestion patterns in city areas.

Foundational geospatial understanding

We develop novel frameworks, leveraging methods like self-supervised studying on geospatial information and motion patterns, to be taught embeddings that seize each native traits and broader spatial relationships. These representations enhance the understanding of mobility patterns and may support downstream duties, particularly the place information is perhaps sparse or when complementing different information modalities. Collaboration with associated Google Analysis efforts in Geospatial Reasoning utilizing generative AI and basis fashions is essential for advancing these capabilities.

Parking insights

Understanding city intricacies contains parking. Constructing on our work utilizing ML to foretell parking issue, Mobility AI goals to offer higher insights for managing parking availability, essential for numerous individuals, together with commuters, ride-sharing drivers, business supply autos, and the rising wants of self-driving autos.

Origin–vacation spot journey demand estimation

Origin–vacation spot (OD) journey demand, which describes the place journeys — like every day commutes, items deliveries, or purchasing journeys — begin and finish, is key to understanding and optimizing mobility. Understanding these patterns is essential as a result of it reveals precisely the place the transportation community is pressured and the place providers or infrastructure enhancements are most wanted. We calibrate OD matrices — tables quantifying these journeys between areas — to precisely replicate noticed visitors patterns, offering a spatially full understanding important for planning and optimization of transportation networks.

Efficiency metrics: Security, emissions and congestion impression

We use aggregated and anonymized Google Maps visitors traits to evaluate impression of transportation interventions on congestion, and we construct fashions to evaluate security and emissions impression. To construct security metrics scalably, we transcend reactive crash information by using laborious braking occasions (HBEs). HBEs are proven to be strongly correlated with crashes and can be utilized for street security providers to pinpoint high-risk areas and predict future collision dangers.

To measure environmental impression, we have developed AI fashions in partnership with the Nationwide Renewable Power Laboratory (NREL) that predict car power consumption (whether or not fuel, diesel, hybrid, or electrical). This powers fuel-efficient routing in Google Maps, estimated to have helped keep away from 2.9M metric tons of GHG emissions within the US alone, which is equal to taking ~650,000 vehicles off the street for a yr. This functionality is key for monitoring local weather and well being impacts associated to transportation decisions.

Affect analysis

Randomized trials are sometimes infeasible for evaluating transportation coverage adjustments. To evaluate the impression of a change, we have to estimate outcomes in its absence. This may be finished by discovering cities or areas with related mobility patterns to function a “management group”. Our evaluation of NYC’s congestion pricing demonstrates this methodology by use of subtle statistical methods like artificial controls to carefully estimate the coverage’s impression and by offering invaluable insights for companies evaluating interventions.

Heven Zepher Flight Labs acquisition

0

Acquisition strengthens Heven’s modular UAS portfolio and helps growth of next-generation unmanned system

Heven Provides Zepher Flight Labs to Advance UAS Innovation

Hydrogen-powered drone developer Heven has introduced the acquisition of Zepher Flight Labs (ZFL), a transfer that enhances the corporate’s means to ship versatile, mission-ready drone methods. Heven, primarily based in Miami, is a acknowledged chief in hydrogen-powered unmanned aerial methods (UAS).

The acquisition will help Heven’s technique to develop its modular and adaptable UAS fleet. By integrating Zepher’s expertise, Heven goals to construct drones with larger endurance, fast deployment capabilities, and improved usability in each protection and business sectors.

“This acquisition strengthens our place out there and underscores our dedication to offering probably the most superior and dependable drone options,” stated Bentzion Levinson, CEO of Heven. “With the addition of ZFL, Heven will have the ability to provide much more versatile methods tailor-made to fulfill the wants of our prospects in protection, safety, and business sectors.”

Combining Strengths for Future Progress

Zepher Flight Labs is well-known for its light-weight VTOL drones, that are designed for fast discipline deployment and straightforward restore. These options align with Heven’s targets of constructing a drone fleet that’s sturdy, environment friendly, and adaptable to a spread of missions.

“We’re excited to hitch the Heven household,” stated Adam Stolz, CEO of ZFL. “Our complementary capabilities will enable us to speed up the event of drone applied sciences, and collectively, we’ll proceed to push the boundaries of what’s potential in unmanned flight.”

ZFL’s group will combine with Heven’s engineers and designers, enabling a collaborative method to future product growth. The mixed groups will concentrate on increasing Heven’s roadmap with new drones that meet rising calls for for long-range, long-endurance capabilities.

Current Progress and Expertise Milestones

The acquisition follows a sequence of main initiatives from Heven. In February, the corporate launched Raider, a hydrogen-powered platform able to flying for over 10 hours and carrying payloads as much as 50 kilos. Heven additionally partnered with Mach Industries to scale U.S. drone manufacturing and launched Heven Border Options, a system geared toward securing borders with persistent aerial surveillance.

The addition of ZFL is predicted to speed up product growth and assist Heven ship enhanced options for each navy and business prospects.

About Heven

Based in 2019, Heven builds hydrogen-powered drones engineered for endurance and flexibility. Designed for complicated missions, Heven drones function effectively and reliably throughout a spread of difficult environments.

About Zepher Flight Labs (ZFL)

Zepher Flight Labs focuses on VTOL drone methods. Their light-weight, long-range drones are constructed for fast discipline use and are suited to navy and business purposes the place mobility and efficiency are crucial.

Learn extra:


The way forward for security in robotics with Ouster Lidar

0

In Episode 193 of The Robotic Report Podcast, co-hosts Mike Oitzman and Eugene Demaitre interview Angus Pacala, co-founder and CEO of Ouster Lidar. On this dialog, Pacala discusses the developments in lidar know-how, significantly the introduction of Ouster’s new 3D zone monitoring function.

headshot of angus pacala, CEO of Ouster

Angus Pacala, co-founder and CEO of Ouster Lidar

He explains the advantages of 3D lidar over conventional 2D lidar programs, emphasizing security and adaptability in industrial purposes. The dialogue additionally covers the evolution of Ouster’s {hardware}, the significance of software-defined capabilities, and progress potential in varied markets, together with humanoid robotics.

Pacala highlights the challenges of value discount and the necessity for innovation to remain aggressive within the quickly evolving panorama of lidar know-how. His 10-year-old firm claims to be the most important Western provider of lidar for robotics.

Present timeline

  • 5:38 – Steve Crowe and Mike Oitzman recap the week’s information
  • 23:00 – Mike and Gene interview Angus Pacala, CEO and co-founder of Ouster Lidar

Information of the week

Locus Robotics passes 5B picks as warehouse automation adoption accelerates

Locus Robotics this week celebrated its newest milestone, saying that it has surpassed 5 billion items picked with its autonomous cell robots (AMRs) throughout its international buyer deployments. The firm mentioned it achieved this report simply 24 weeks after reaching its 4 billionth choose in October 2024.

Locus famous that its earlier pick-rate data illustrate its exponential progress:

Starship Applied sciences makes 8M autonomous deliveries

Starship Applied sciences mentioned its programs have accomplished greater than 8 million autonomous deliveries and traversed over 10 million miles globally.

By comparability Zipline mentioned it has used drones to ship 1.45 million orders throughout seven international locations, together with the U.S., Ghana, and Japan, primarily in healthcare and e-commerce. Waymo, which received the 2025 RBR50 Robotic of the 12 months, introduced in late 2024 that it had surpassed 5 million driverless journeys to this point.

Strong.AI expands Carter robotic capabilities, provides traders

Strong.AI mentioned its collaborative cell robotic can serve a number of capabilities. The software-defined platform can deal with point-to-point transport, assist achievement choosing, and even be a cell sorting wall, in accordance with the corporate.

Final yr, DHL Provide Chain partnered with Strong.AI to deploy Carter throughout a number of places. After a current deployment in Las Vegas, Carter improved choosing productiveness by greater than 60% from Day 1.

AV information: Helm.ai and Pony.ai each replace software program

Pony.ai unveils Seventh-gen self-driving platform and plans for mass manufacturing this yr

Dr. James Peng, co-founder and CEO of Pony.ai mentioned: “2025 marks the inaugural yr of Pony.ai’s mass-produced robotaxis.”

The corporate mentioned steady design optimization has decreased the overall bill-of-materials (BOM) prices by 70%. This additionally got here with an 80% lower in autonomous driving computation (ADC) and a 68% reduce in solid-state lidar, in every case in contrast with its predecessor.

Helm.ai launches AV software program for up SAE L4 autonomous driving

Helm.ai develops synthetic intelligence software program for superior driver-assist programs (ADAS), autonomous autos (AVs), and robotics. The corporate affords full-stack, real-time AI programs, together with end-to-end autonomous programs, plus improvement and validation instruments powered by its Deep Educating methodology and generative AI.


SITE AD for the 2025 Robotics Summit registration.
Register now so you do not miss out!


Podcast sponsored by Enidine

Established in 1966, Enidine is a premier provider of extremely engineered merchandise to increase tools life, enhance consolation, and improve security and reliability all through international industrial finish markets.

Enidine’s engineering crew has designed customized vitality absorption, vibration isolation, and noise attenuation options for all kinds of difficult purposes, together with automated storage and retrieval programs (ASRS) and manufacturing facility automation. Its big selection of modern parts has confirmed to be important to clients’ success.

Study extra by going to www.enidine.com/en-us.

DoorDash seeks dismissal of Uber lawsuit

0

DoorDash has requested a California Superior Courtroom choose to dismiss a lawsuit filed by Uber that accuses the meals supply firm of stifling competitors by intimidating restaurant homeowners into unique offers.

DoorDash argues in its movement that Uber’s declare lacks benefit on all fronts. On a put up on its web site on Friday, DoorDash stated, “the lawsuit is nothing greater than a cynical and calculated scare tactic from a annoyed competitor looking for to keep away from actual competitors. It’s disappointing conduct from an organization as soon as identified for competing on the deserves of its merchandise and innovation.”

In its put up, DoorDash added that it’s going to “vigorously” defend itself, and positioned the corporate as one which “competes fiercely but pretty to ship distinctive worth to retailers.”

A listening to has been set for July 11 in California Superior Courtroom in San Francisco County.

Uber filed its lawsuit towards DoorDash in February. The ride-hailing big alleged DoorDash, which holds the biggest share of the meals supply market within the U.S., threatens eating places with multimillion-dollar penalties or the removing or demotion of the companies’ place on the DoorDash app.

Uber responded to the DoorDash request in a press release despatched to TechCrunch.

“It looks as if the workforce at DoorDash is having a tough time understanding the content material of our Grievance,” reads the emailed assertion from Uber. “When eating places are compelled to decide on between unfair phrases or retaliation, that’s not competitors — it’s coercion. Uber will proceed to face up for retailers and for a degree taking part in subject. We sit up for presenting the details in courtroom.”

Uber requested a jury trial in its unique grievance. The corporate has not specified the quantity of damages it’s looking for.

Individually, Deliveroo confirmed Friday that DoorDash supplied to purchase the European meals supply firm for $3.6 billion.

Motorola Launches 2025 Razr Flip Cellphone Lineup: Razr Extremely, Razr Plus (2025), and Razr (2025) With Moto AI

0

Motorola launched its all-new 2025 Razr household, that includes three fashions: the brand new Razr Extremely, the refreshed Razr Plus (2025), and the up to date Razr (2025). Unveiled throughout an occasion in New York Metropolis, the brand new Razr lineup combines an uber-stylish design, new AI options, improved efficiency, and refined digital camera programs. Look and Speak is without doubt one of the most revolutionary new software program options, enabling speech-to-text and hands-free operation through gaze recognition.

The Razr Extremely is a brand-new addition to the household, representing essentially the most premium foldable Motorola has ever launched. In contrast to earlier iterations, this mannequin didn’t exist earlier than and is constructed on the most recent Snapdragon 8 Elite Cellular Platform, designed for customers who demand top-tier specs, pictures energy, and luxurious finishes. The Razr Plus is a refinement of final 12 months’s mannequin, sustaining a lot of its predecessor’s characteristic set whereas delivering incremental upgrades in just a few areas. In the meantime, the Razr (2025) is Motorola’s most reasonably priced flip cellphone, and it includes a new processor, an improved show, and higher battery efficiency.

Motorola Launches 2025 Razr Flip Cellphone Lineup: Razr Extremely, Razr Plus (2025), and Razr (2025) With Moto AI

From left to proper: Razr Extremely Mountain Path, Razr Extremely Cabaret, Razr Plus Mocha Mousse, Razr Lightest Sky, Razr Gibraltar Sea

Design, Supplies, and Colours

For the Razr lineup, Motorola continues to deal with design excellence and a fashionable feel and appear that goals to enchantment to vogue aficionados. Sturdiness can also be a key driver throughout the Razr vary, with every mannequin now that includes a titanium-reinforced hinge that’s 4 instances stronger than surgical-grade chrome steel. This new hinge is engineered for smoother folding and helps 35% extra folds than earlier generations. The corporate has additionally optimized the thickness of its ultra-thin glass and refined the bend radius of the hinge, lowering show creasing by 30% and delivering its smoothest Razr show up to now.

Motorola partnered with Pantone to include globally related, trend-setting colours and supplies. The Razr Extremely debuts Alcantara, a luxurious materials made in Italy, together with FSC-certified wooden, setting it aside from different smartphones. Every mannequin is paired with a rigorously chosen Pantone colour, comparable to Scarab, Cabaret, Mountain Path, and Rio Purple, giving each gadget a distinctive and premium end. The Razr Plus returns with textures impressed by leather-based in shades like Scorching Pink and Mocha Mousse, together with Pantone’s Shade of the Yr. The bottom Razr brings in light-weight finishes like acetate and nylon-inspired textures, out there in vibrant tones like Parfait Pink, Spring Bud, Lightest Sky, and Gibraltar Sea.

Nevertheless, these daring design selections don’t sacrifice operate. The Razr Extremely options Gorilla Glass-Ceramic on its exterior show, enhancing drop resistance. The Razr Plus and the Razr’s exterior shows are actually protected with Gorilla Glass Victus. IP48 water and mud resistance can also be commonplace throughout all fashions, making certain the units face up to real-world circumstances with out compromising type.

Moto AI

Moto AI performs a transformative function in Motorola’s 2025 Razr expertise. It elevates the foldable smartphone from a communication gadget to a proactive digital companion. Moto AI is at all times on, accessible through a floating button, immediate bar, and even by the exterior show, and provides clever, real-time interactions. With options like Catch Me Up, Pay Consideration, Bear in mind This, and Subsequent Transfer, the AI handles multitasking and productiveness, whether or not it’s summarizing conversations, analyzing display screen content material, or suggesting follow-up actions.

Playlist Studio and Picture Studio enable customers to generate context-aware playlists and AI-generated content material comparable to avatars, wallpapers, and graphics. Sensible Join with AI lets customers mirror screens, stream media, or switch duties throughout Motorola and suitable units with a easy command. On the Razr Extremely, customers profit from a devoted AI Key and hands-free use in tent or stand mode.

Look and Speak, is a brand new, spectacular, and uber-practical characteristic unique to the Razr Extremely. Designed to work solely in tent mode, it provides customers a hands-free means to work together with Moto AI through gaze unlock, voice instructions, and voice-to-text expertise.

The AI engine runs on-device, enabling quick efficiency and privateness while not having fixed cloud entry. Integration with Google’s Gemini AI additionally allows superior inventive duties and voice-driven productiveness options.

.

Razr Extremely: Motorola’s Final Flip Cellphone Flagship

The Razr Extremely is Motorola’s most bold foldable but. It’s geared up with a 7.0-inch LTPO AMOLED show that helps a 165Hz refresh fee, HDR10+, Dolby Imaginative and prescient, and Pantone Validation. The bezels are 20% slimmer than these of its predecessor. The exterior 4.0-inch display screen delivers a 3000-nit peak brightness.

Underneath the hood, the Snapdragon 8 Elite ensures best-in-class efficiency. Paired with 16GB of LPDDR5X RAM and 512GB or 1TB of UFS 4.0 storage, the Razr Extremely delivers easy multitasking and superior on-device AI. A 4700mAh battery helps 68W wired, 30W wi-fi, and 5W reverse wi-fi charging.

The digital camera system features a triple 50MP setup: a main sensor with Extremely Pixel and OIS, a 122-degree ultra-wide/macro lens, and a 50MP entrance digital camera with f/2.0 aperture. Video capabilities embody 8K at 30 fps, 4K at 60 fps, Dolby Imaginative and prescient, and slow-motion. Moto AI enhances photographs with Motion Shot, Group Shot, Signature Model, and Air Gesture controls.

Razr Plus 2025: A Few Refreshments Over the Earlier Mannequin

The Motorola Razr Plus (2025) builds on the success of its 2024 predecessor. It retains the 6.9-inch LTPO pOLED inner display screen and 4.0-inch exterior panel, now boosted to 3000 nits. The exterior show now options Gorilla Glass Victus and permits for expanded widget and app panels.

The 2025 mannequin retains the Snapdragon 8s Gen 3, provides UFS 4.0 storage, and a 4000mAh battery with 45W wired, 15W wi-fi, and now 5W reverse wi-fi charging. The twin 50MP cameras stay, however software program upgrades embody Signature Model, Group Shot, Sensible Shutter, and Auto Night time Imaginative and prescient. The entrance shooter will get a 32MP sensor with an f/2.4 aperture.

Moto AI additionally brings voice-activated instructions, clever display screen consciousness, and contextual app ideas.

Razr: Brighter Show, Improved Efficiency, and Higher Sturdiness In A $700 Flip Package deal

For the Razr (2025), Motorola introduces key updates whereas preserving it reasonably priced. The 3.6-inch exterior show now makes use of an LTPS panel, helps Extremely HDR, 2400 nits brightness, adaptive refresh as much as 90Hz, and Gorilla Glass Victus. The 6.9-inch fundamental show consists of 3000 nits brightness, 120% DCI-P3, LTPO, and excessive contact sampling.

It runs on the MediaTek Dimensity 7400X, with 8GB LPDDR4X RAM and 256GB UFS 2.2 storage. The battery capability will increase to 4500mAh, supporting 30W wired and 15W wi-fi charging. The 50MP fundamental digital camera with OIS and a 13MP ultrawide 120° lens are powered by Moto AI options like Motion Shot, Group Shot, Signature Model, and extra. The entrance digital camera, situated on prime of the inner fundamental display screen, is similar because the one on the Razr Plus, that includes a 32MP sensor and a f/2.4 aperture.

Increasing the Ecosystem: Moto Buds and Watch Match

Alongside the Razr units, Motorola launched new life-style equipment. The Moto Buds Loop are open-ear earbuds co-developed with Bose, with spatial sound, water resistance, and all-day put on. A trendy Swarovski version can also be out there.

The Moto Watch Match is a light-weight smartwatch with a 1.9-inch OLED show, coronary heart fee monitoring, built-in GPS, and as much as 16 days of battery life. Learn extra particulars concerning the Moto Watch Match right here.

Pricing and Availability

Pre-orders start Could 7 within the U.S., with availability on Could 15. Costs: $1,299.99 for Razr Extremely, $999.99 for Razr Plus, and $699.99 for Razr (2025). In Canada, pre-orders open Could 7 and gross sales begin June 3. Carriers embody AT&T, Verizon, T-Cellular, and others.

Colours:

  • Razr Extremely: PANTONE Rio Purple, Scarab, Mountain Path, Cabaret
  • Razr Plus: PANTONE Mocha Mousse, Midnight Blue, Scorching Pink
  • Razr: PANTONE Spring Bud, Gibraltar Sea, Parfait Pink, Lightest Sky

AT&T will provide the Razr Plus (2025) for $5.99/month beginning July 24, no trade-in required. Cricket Wi-fi will provide the Razr (2025) for $199.99 beginning July 25.

Verizon will provide the Razr (2025) for $16.67/month over 36 months (0% APR) beginning Could 15, or $0/month with trade-in of any gadget on a myPlan line, plus a 3-year worth lock. Additionally out there on Verizon pay as you go manufacturers like Straight Speak, Seen, Whole Wi-fi, and Verizon Pay as you go.

Function Razr Extremely 2025 Razr Plus 2025 Razr 2025
Important Show 7.0″ LTPO AMOLED, 165Hz, HDR10+, Dolby Imaginative and prescient, 3000 nits 6.9″ LTPO pOLED, 165Hz, HDR10+, 3000 nits 6.9″ FHD+ pOLED, 120Hz, HDR10+, 3000 nits
Exterior Show 4.0″ pOLED, 165Hz, 3000 nits, Gorilla Glass Ceramic 4.0″  pOLED, 165 Hz, 3000 nits, Gorilla Glass Victus 3.6″ pOLED, 90Hz, 2400 nits, Gorilla Glass Victus
Processor Snapdragon 8 Elite Snapdragon 8s Gen 3 MediaTek Dimensity 7400X
RAM As much as 16GB LPDDR5X 12GB LPDDR5X 8GB LPDDR4X
Storage 512GB or 1TB UFS 4.0 256GB UFS 4.0 256GB UFS 2.2
Battery 4700 mAh 4000 mAh 4500 mAh
Charging (Wired/Wi-fi/Reverse) 68W / 30W / 5W 45W / 15W / 5W 30W / 15W / No reverse
Important Digicam 50MP fundamental, OIS, Extremely Pixel 50MP fundamental, OIS 50MP fundamental, OIS, PDAF
Ultrawide Digicam 50MP ultra-wide, 122° 50MP telephoto, 2x optical zoom 13MP ultra-wide, 120°
Entrance Digicam 50MP 32MP 32MP
Video Seize Important 8K@30 fps 4K@60fps, Dolby Imaginative and prescient, Gradual-mo (240fps/120fps) 4K@30/60fps, FHD slow-mo 4K@30/60fps, FHD@120fps, HD@240fps
Water/Mud Resistance IP48 IP48 IP48
Construct Options Titanium hinge, Alcantara, Wooden, Pantone colours Titanium hinge, Leather-based end, Pantone colours Acetate/Nylon end, Pantone colours
Audio system Twin Stereo, Dolby Atmos, 3 mics Twin Stereo, Dolby Atmos, 3 mics Twin Stereo, Dolby Atmos, 3 mics
OS / AI Options Moto AI, AI Key, Look and Speak, Gemini AI, AI widgets, Moto AI, AI Key, AI widgets, Moto AI, AI Key, AI widgets,

Filed in Breaking >Cellphones. Learn extra about , , , , and .

Here is how and why to delete your private information from the web

0

With information brokers making massive cash by promoting your private particulars, it’s by no means been simpler for spammers and scanners to get entry to your telephone quantity, e-mail tackle, bodily tackle, and even delicate information like your social safety quantity.

Apple’s privateness protections assist, after all, however if you wish to get proactive about eradicating your present private information from the web, it’s by no means been simpler to take action …

Information brokers are firms whose enterprise is shopping for and promoting private information. Whereas they do seize headlines on uncommon events – as within the case of a significant information breach – they largely function within the shadows.

Regardless of occasional speak of lawmakers or regulators intervening, information broking stays a superbly authorized enterprise, benefiting from the small-print we often comply with when registering to make use of an internet site or shopping for an app.

This not solely makes your contact particulars obtainable to spammers and scammers, however data of your on-line exercise may harm your funds by impacting your credit score rating. That may have an effect on every part out of your eligibility for bank cards and loans to the charges you pay to your medical insurance.

The legislation does help you choose out, however manually figuring out all the firms holding your information, and issuing elimination requests, is an extremely labor-intensive job. Fortuitously, there’s a a lot simpler answer.

Incogni’s data-erasure service

As an alternative of you having to contact a whole bunch of various firms, leaping via no matter hoops they put in your method, you possibly can outsource the work to data-removal service Incogni.

The corporate behind Surfshark does all of the onerous be just right for you, contacting greater than 250 information brokers and other people search websites in your behalf, and issuing calls for for the elimination of your entire private particulars. Irrespective of whether or not you might be based mostly within the US, Canada, UK, EU, or Switzerland, Incogni will use the related legal guidelines in every nation when issuing its notices.

The outcomes?

  • Much less spam, as fewer firms have your particulars
  • Decreased danger of being scammed, as fraudsters usually steal particulars obtainable on-line
  • Safety from stalking and harassment, by conserving your private particulars non-public

Subscribers can monitor the method (potential databases discovered, requests despatched, requests accomplished) on their Incogni dashboard.

50% financial savings for 9to5Mac readers

9to5Mac readers can hold their information off the market with a 1-year subscription at a 55% low cost on each particular person and household plans. Customers can select so as to add as much as 4 family members to their Household & Mates plan. Customers can add as much as three telephone numbers (US-based clients solely), three emails, and three bodily addresses.

Moreover, Incogni lately launched its Limitless plan, which the corporate believes to be a game-changer on this planet of information elimination companies. Along with all the usual information brokers and people-finder websites, Limitless subscribers can request customized removals from any web site that exposes their private information (excluding social media platforms, authorities data, blogs, and boards) – and devoted privateness brokers will maintain the remainder. 

Unique reader pricing is:

  • Month-to-month, Particular person: $16.58
  • Month-to-month, Household: $32.98
  • Annual, Particular person: $89.53
  • Annual, Household: $178.09
  • Annual, Particular person, Limitless: $161.89
  • Annual, Household, Limitless: $323.89

Use the low cost code 9TO5MAC at checkout to qualify. Enroll at Incogni’s web site.

FTC: We use revenue incomes auto affiliate hyperlinks. Extra.

vivo particulars all the AI options baked in to FunTouch OS 15

0

Vivo introduced FunTouch OS 15 was final 12 months and it has since been making its solution to vivo and iQOO units. Synthetic Intelligence options are all the trend lately and vivo has now detailed all the AI options present in FunTouch OS 15.

AI Erase kicks off the photography-related AI options, permitting customers to take away undesirable components from their photographs. The function is carried out within the Edit part of the Albums app.

AI Stay Cutout is one other helpful trick that permits customers to isolate topics and objects from photographs through an extended press.

AI Picture Improve enhances blurry or in any other case flawed pictures by enhancing readability, colours and facial particulars of topics within the shot.

Circle to Search is baked into FunTouch OS 15 and permits customers to seek for something on their display screen by drawing a circle round it.

AI Name Translation is constructed into the vivo Dialer app. The function might be activated from the three-dot menu contained in the Dialer app, the place you choose your language and the one for the individual on the opposite line. The following time you obtain a name, AI Name Translation will seem on the cellphone display screen and it’ll robotically inform the individual on the opposite finish that the decision is being recorded and translated.

AI Display screen Translation gives real-time translation of on-screen content material. It requires an energetic web connection and might be accessed through the built-in Display screen translation instrument.

AI Transcript Help is baked into the Recorder app and can robotically convert audio recordings into textual content. You’ll additionally get transcript summaries and key phrase searches.

AI Stay Textual content gives Optical Character Recognition (OCR) which might extract textual content from photographs and screenshots. The extracted textual content will then be copied to your clipboard and might be shared with different apps and providers.

AI Observe Help helps manage your unstructured notes in bullet-point type. You additionally get fast summaries, extraction for to-do objects and translations for textual content.

Supply

Robotic Movies: Cargo Robots, Robotic Marathons, and Extra

0

Video Friday is your weekly choice of superior robotics movies, collected by your mates at IEEE Spectrum robotics. We additionally submit a weekly calendar of upcoming robotics occasions for the subsequent few months. Please ship us your occasions for inclusion.

ICUAS 2025: 14–17 Might 2025, CHARLOTTE, NC
ICRA 2025: 19–23 Might 2025, ATLANTA
London Humanoids Summit: 29–30 Might 2025, LONDON
IEEE RCAR 2025: 1–6 June 2025, TOYAMA, JAPAN
2025 Power Drone & Robotics Summit: 16–18 June 2025, HOUSTON
RSS 2025: 21–25 June 2025, LOS ANGELES
ETH Robotics Summer season College: 21–27 June 2025, GENEVA
IAS 2025: 30 June–4 July 2025, GENOA, ITALY
ICRES 2025: 3–4 July 2025, PORTO, PORTUGAL
IEEE World Haptics: 8–11 July 2025, SUWON, KOREA
IFAC Symposium on Robotics: 15–18 July 2025, PARIS
RoboCup 2025: 15–21 July 2025, BAHIA, BRAZIL
RO-MAN 2025: 25–29 August 2025, EINDHOVEN, THE NETHERLANDS
CLAWAR 2025: 5–7 September 2025, SHENZHEN
CoRL 2025: 27–30 September 2025, SEOUL
IEEE Humanoids: 30 September–2 October 2025, SEOUL
World Robotic Summit: 10–12 October 2025, OSAKA, JAPAN
IROS 2025: 19–25 October 2025, HANGZHOU, CHINA

Take pleasure in immediately’s movies!

All through the course of the previous 12 months, LEVA has been designed from the bottom up as a novel robotic to move payloads. Though the usage of robotics is widespread in logistics, few options provide the potential to effectively transport payloads each in managed and unstructured environments. 4-legged robots are perfect for navigating any atmosphere a human can, but few have the options to autonomously transfer payloads. That is the place LEVA shines. By combining each wheels (a method of locomotion ideally fitted to quick and exact movement on flat surfaces) and legs (that are excellent for traversing any terrain that people can), LEVA strikes a stability that makes it extremely versatile.

[ LEVA ]

You’ve in all probability heard about this humanoid robotic half-marathon in China, as a result of it bought quite a lot of media consideration, which I presume was the aim. And for these of us who keep in mind when Asimo working was a giant deal, marathon working continues to be spectacular in some sense. It’s simply laborious to attach that to those robots doing something sensible, you realize?

[ NBC ]

A robotic navigating an outside atmosphere with no prior data of the area should depend on its native sensing to understand its environment and plan. This may come within the type of a neighborhood metric map or native coverage with some fastened horizon. Past that, there’s a fog of unknown area marked with some fastened value. On this work, we make a key commentary that long-range navigation solely necessitates figuring out good frontier instructions for planning as a substitute of full-map data. To this finish, we suggest the Lengthy Vary Navigator (LRN), which learns an intermediate affordance illustration mapping high-dimensional digital camera pictures to inexpensive frontiers for planning, after which optimizing for optimum alignment with the specified aim. By means of in depth off-road experiments on Spot and a Large Automobile, we discover that augmenting present navigation stacks with LRN reduces human interventions at take a look at time and results in quicker resolution making indicating the relevance of LRN.

[ LRN ]

Goby is a compact, succesful, programmable, and low-cost robotic that allows you to uncover miniature worlds from its tiny perspective.

On Kickstarter now, for an absurdly low cost US $80.

[ Kickstarter ]

Thanks, Wealthy!

HEBI robots demonstrated inchworm mobility in the course of the Innovation Faire of the FIRST Robotics World Championships in Houston.

[ HEBI ]

Thanks, Andrew!

Completely satisfied Easter from Flexiv!

[ Flexiv ]

We’re excited to current our proprietary reinforcement studying algorithm, refined by way of in depth simulations and huge coaching information, enabling our full-scale humanoid robotic, Adam, to grasp humanlike locomotion. In contrast to model-based gait management, our RL-driven strategy grants Adam distinctive adaptability. On difficult terrains like uneven surfaces, Adam seamlessly adjusts stride, tempo, and stability in actual time, making certain secure, pure motion whereas boosting effectivity and security. The algorithm additionally delivers fluid, swish movement with clean joint coordination, minimizing mechanical put on, extending operational life, and considerably lowering power use for enhanced endurance.

[ PNDbotics ]

Contained in the GRASP Lab—Dr. Michael Posa and DAIR Lab. Our analysis facilities on management, studying, planning, and evaluation of robots as they work together with the world. Whether or not a robotic is helping throughout the house or working in a producing plant, the basic promise of robotics requires touching and affecting a fancy atmosphere in a protected and managed style. We’re targeted on creating computationally tractable and information environment friendly algorithms that allow robots to function each dynamically and safely as they shortly maneuver by way of and work together with their environments.

[ DAIR Lab ]

I’ll by no means perceive why robotics firms really feel the necessity to add the sounds of sick actuators when their robots transfer.

[ Kepler ]

Be part of Matt Trossen, founding father of Trossen Robotics, on a time-traveling teardown by way of the evolution of our robotic arms! On this deep dive, Matt unboxes the ghosts of robots previous—sharing behind-the-scenes tales, daring design choices, classes realized, and the way the business itself has shifted gears.

[ Trossen ]

This week’s Carnegie Mellon College Robotics Institute (CMU RI) seminar is a retro version (2008!) from Charlie Kemp, beforehand of the Healthcare Robotics Lab at Georgia Tech and now at Whats up Robotic.

[ CMU RI ]

This week’s precise CMU RI seminar is from a way more trendy model of Charlie Kemp.

After I began in robotics, my aim was to assist robots emulate people. But as my lab labored with individuals with mobility impairments, my notions of success modified. For assistive purposes, emulation of people is much less essential than ease of use and usefulness. Serving to with seemingly easy duties, reminiscent of scratching an itch or selecting up a dropped object, could make a significant distinction in an individual’s life. Even full autonomy may be undesirable, since actively directing a robotic can present a way of independence and company. General, many advantages of robotic help derive from nonhuman features of robots, reminiscent of being tireless, immediately controllable, and freed from social traits that may inhibit use.

Whereas technical challenges abound for house robots that try to emulate people, I’ll present proof that human-scale cell manipulators may gain advantage individuals with mobility impairments at house within the close to future. I’ll describe work from my lab and Whats up Robotic that illustrates alternatives for valued help at house, together with supporting actions of day by day dwelling, main train video games, and strengthening social connections. I can even current current progress by Whats up Robotic towards unsupervised, day by day in-home use by an individual with extreme mobility impairments.

[ CMU RI ]

From Your Web site Articles

Associated Articles Across the Internet

Der Sophos Lively Adversary Report 2025 – Sophos Information

0

Der Sophos Lively Adversary Report wird dieses Jahr zum fünften Mal veröffentlicht. Entstanden ist er aus einer einfachen Frage: Was passiert nach einem Angriff auf ein Unternehmen? Denn wenn man weiß, wie die Gegner vorgehen – welchem Playbook sie folgen –, kann man ihre Angriffe schneller stoppen. (Nicht umsonst hießen wir anfangs „Lively Adversary Playbook“.)  Während wir bei Sophos diskutierten, wie wir eine Testumgebung zur Beantwortung dieser Frage einsetzen könnten, waren wir passenderweise an anderer Stelle mit der Einführung eines Incident-Response-Service (IR) beschäftigt. Schon conflict ein teamübergreifendes Projekt geboren. 

Seit fünf Jahren veröffentlichen wir nun unsere Daten – anfangs nur die aus dem entstandenen IR-Service, aber nach und nach kamen Informationen aus einem verbundenen Staff hinzu, das sich um unsere MDR-Bestandskunden kümmert. Allerdings reichen Daten allein natürlich nicht. Eine Analyse ist unbedingt Teil des Pakets. Unseren Prozess dafür verfeinern wir auch nach einem halben Jahrzehnt noch. Im aktuellen Report finden Sie einige wichtige Beobachtungen und Analysen zu den Daten aus dem Jahr 2024, die hoffentlich helfen, eine breitere Diskussion anzustoßen. Weitere Informationen zu den genutzten Daten finden Sie am Ende des Stories.

Kernaussagen 

  • Die Unterschiede zwischen den MDR- und IR-Ergebnissen zeigen quantitativ den statistischen Mehrwert eines aktiven Monitorings. 
  • Erstzugriffe erfolgen weiterhin vor allem über kompromittierte Zugangsdaten. MFA ist essenziell. 
  • Die Verweildauer verringert sich (erneut!). 
  • Die Nutzung von „Dwelling-off-the-Land“-Binärdateien (LOLBins) explodiert. 
  • Distant-Ransomware ist eine einzigartige Herausforderung/Likelihood für aktiv verwaltete Systeme. 
  • Aus den Auswirkungen lassen sich Erkenntnisse über potenzielle Erkennungen von Angriffen ableiten.

Der Ursprung der Daten
Wie bei unserem vorherigen Lively Adversary Report stammen die Daten für diese Ausgabe aus ausgewählten Fällen, die 2024 von zwei Sophos-Groups gehandhabt wurden:  a) vom Sophos-Staff für Incident Response (IR) und b) vom Response-Staff für kritische Fälle bei unseren MDR-Kunden (Managed Detection and Response). In diesem Report nennen wir diesen beiden Groups das „IR-Staff“ und das „MDR-Staff“. Sofern zutreffend, vergleichen wir die Ergebnisse aus den 413 für diesen Report ausgewählten Fällen mit Daten aus älteren Sophos-X-Ops-Fällen, die bis zur Einführung des IR-Companies im Jahr 2020 zurückreichen. 

Für diesen Report wurden 84 % der Datensätze aus Unternehmen mit unter 1.000 Beschäftigten gezogen. Dieser Wert ist geringer als im letzten Report (88 %). Der Unterschied liegt hauptsächlich (wenn auch nicht ausschließlich) darin, dass wir die MDR-Fälle hinzugenommen haben. Intestine die Hälfte (53 %) der Unternehmen, die uns um Hilfe bitten, haben 250 Angestellte oder weniger. 

Aus welchen Bereichen kommen diese Unternehmen? Wie immer in unseren bisherigen Lively Adversary Stories zeigte sich, dass der Produktionssektor am häufigsten nach unseren Sophos-X-Ops-Response-Companies fragt, auch wenn dieser Prozentsatz von 25 % im Jahr 2023 auf 16 % im Jahr 2024 gefallen ist. Bildung (10 %), Bauwesen (8 %), Informationstechnologie (7 %) und das Gesundheitswesen (6%) runden die High 5 ab. Insgesamt sind 32 Branchen in den Daten enthalten. 

Weitere Hinweise zu den Daten und der Methodologie für die Auswahl der Fälle finden Sie im Anhang. Daten zu SecureWorks Incident Response sind in diesem Report nicht enthalten. 

Der größte Unterschied: MDR und IR
Schon während der Zusammenstellung und Normalisierung der IR- und MDR-Daten vermutete das Lively-Adversary-Staff, dass wir bei Unternehmen, in denen bereits von Fachleuten geleitetes aktives Monitoring und Logging stattfand, vermutlich bessere Sicherheitsergebnisse sehen würden – anders ausgedrückt: bei den MDR-Fällen. Das magazine offensichtlich sein, aber wie groß diese Unterschiede waren, hat uns doch verblüfft. Und darüber sprechen wir in diesem Report.

Ransomware und Verweildauer gehören zusammen
Im letzten Reportzyklus hatten wir bereits beobachtet (aber nicht davon berichtet), dass die MDR-Kunden ganz andere Angriffsarten erleben als die IR-Kunden. Das conflict ein erstes deutliches Anzeichen für den Unterschied zwischen den zwei Datensätzen, und den wollen wir in diesem Report in den Fokus rücken.  

In allen bisherigen Stories stand Ransomware ganz oben in den Charts, wie man gemäß den IR-Daten schon erwarten konnte. Ein Ransomware-Angriff richtet einfach so große Schäden an, dass viele Unternehmen ihn nicht allein in den Griff bekommen – insbesondere kleinen Unternehmen fehlen die Ressourcen für eine umfassende Reaktion. 

In den vergangenen vier Jahren, in denen wir nur IR-Daten untersucht hatten, conflict Ransomware in 68 % bis 81 % die Ursache für unser Eingreifen. Im Jahr 2024 ist dieser Anteil auf 40 % gefallen, und den ersten Platz nehmen jetzt Netzwerk-Sicherheitsverletzungen mit 47 % der Fälle ein. Wenn wir die beiden Datensätze jedoch getrennt betrachten, sieht es bei den IR-Fällen ähnlich aus wie in allen vorherigen Jahren. Ransomware (65 %) ist die dominante Angriffsart, gefolgt von Netzwerk-Sicherheitsverletzungen (27 %). Aber die MDR-Daten zeigen eben ein anderes Bild: Netzwerk-Sicherheitsverletzungen (56 %) sind quick doppelt so häufig wie Ransomware (29 %).

Abbildung 1: Die Veränderung bei den Angriffsarten ist verblüffend: 2024 überholten die Netzwerk-Sicherheitsverletzungen Ransomware als die am häufigsten beobachtete Angriffsart. Und am unteren Rand des Diagramms findet sich ein weiterer interessanter Faktor: Unabhängig vom Datensatz und vom Jahr steigt keine einzige Angriffsart über 10 % aller Fälle. Diese spielen additionally keine große Rolle, unabhängig davon, ob Ransomware oder Netzwerk-Sicherheitsverletzungen den ersten oder zweiten Platz einnehmen.

Auch die Verweildauer haben wir in diesen Datensätzen unter die Lupe genommen. Allgemein gesehen hat sich die Verweildauer verringert, blieb aber in den letzten Jahren stabil. (Eine detaillierte Analyse dazu finden Sie in unserem Report zum 1. Halbjahr 2024.) Unter diesen Voraussetzungen haben uns die Statistiken für dieses Jahr überrascht. 

Kurz gesagt:https://www.merriam-webster.com/wordplay/bury-the-lede-versus-lead Die durchschnittliche Verweildauer für alle Fälle 2024 betrug nur zwei Tage. In den IR-Fällen sehen wir ein vertrautes Muster: Der allgemeine Durchschnitt liegt bei 7 Tagen. Bei Ransomware-Fällen sind es durchschnittlich 4 Tage und bei allen anderen Fällen durchschnittlich 11,5 Tage. Die MDR-Verweildauer conflict jedoch in allen Bereichen geringer und die Reihenfolge umgekehrt: bei Ransomware 3 Tage, bei allen anderen Fällen 1 Tag.  

Das liegt unserer Meinung nach daran, dass bestimmte Dinge (zum Beispiel das Exfiltrieren von Daten) nicht schneller gehen, weil Menschen eingreifen müssen oder der Datendurchsatz Begrenzungen hat. Allerdings bedeutet es nicht, dass die Angriffe nicht schneller sein könnten. Das ist durchaus möglich, aber die Daten zeigen trotzdem, dass Ransomware-Angriffe üblicherweise länger dauern als andere. Einen großen Unterschied in der Verweildauer bei Ransomware zwischen den verschiedenen Diensten gibt es deshalb auch nicht. 

Bei anderen Fällen jedoch sind die Begrenzungen geringer, und dementsprechend finden sich größere Unterschiede zwischen den Diensten. Bei IR-Fällen kann ein Angreifer zum Beispiel länger unerkannt im Netzwerk bleiben, bis ein Ereignis auftritt, das auffällig genug ist. Angreifer mit gültigen Anmeldeinformationen, die unerkannt über erwartete Kanäle Daten aus dem Netzwerk exfiltrieren, werden vielleicht erst erkannt, wenn sie das Opfer kontaktieren. Falls sie das tun. (Man sollte auch beachten, dass im Ransomware-Bereich viele Amateure ihr Glück versuchen, die „lauter“ unterwegs sind und ihre Spuren nicht verwischen können. Bei Ransomware handelt es sich immer noch um ein Zahlenspiel, und es gehört wohl einfach zum Geschäftsmodell, oft keinen Erfolg zu haben.) 

Im Gegensatz dazu werden MDR-Fälle für Nicht-Ransomware (oder Prä-Ransomware) schneller gemeldet, weil die technische Erkennung besser greift und die Aufmerksamkeit kontinuierlich größer ist. Verdächtige Ereignisse werden früher untersucht und bei Bedarf eskaliert. Kurz gesagt: Eine schnellere Erkennung führt dazu, dass Ransomware gestoppt wird, was bedeutet, dass eine größere Anzahl an Angriffen als Netzwerk-Sicherheitsverletzungen eingeordnet wird. Das bringt bessere Ergebnisse für die Opfer mit sich. 

Kein großer Unterschied bei der Ursache
Was die Grundursache angeht, konnten wir bei den IR- und MDR-Fällen jedoch keinen großen Unterschied feststellen. Erneut sehen wir ganz oben die vertraute Kombination aus kompromittierten Anmeldedaten (41 %) und der Ausnutzung von Schwachstellen (22 %), gefolgt von Brute-Drive-Angriffen (21 %) auf dem dritten Platz, wie Abbildung 2 zeigt. 

rapport active adversary

Abbildung 2: Die Grundursache der MDR- und IR-Fälle variiert, aber in beiden Datensätzen sind weiterhin kompromittierte Anmeldedaten die größte Schwachstelle.

Bei den IR-Daten spielen Brute-Drive-Angriffe wie immer keine große Rolle, in den MDR-Daten zeigt sich jedoch ein beachtlicher Anstieg für 2024. Das kann aber auch an der Verfügbarkeit der Daten liegen: Für IR-Analysen stehen oft keine Protokolle zur Verfügung, sodass die Grundursache nicht bestimmt werden kann. Für die MDR-Analysen haben wir konsistentere Datenquellen, die wir gründlicher untersuchen können. 

 Bei einem Jahresvergleich (siehe Abbildung 3) zeigt sich die Veränderung der Prozentsätze bis 2024. 

Abbildung 3: Der Anteil der kompromittierten Anmeldedaten als häufigste Grundursache für Probleme ist 2024 gesunken, aber immer noch hoch. (Daten für 2020 werden in diesem Diagramm nicht angezeigt, weil wir die Datenkennzeichnung für diese Kategorie geändert haben.) 

Im Jahr 2024 konnten wir in 47 % der Fälle keine Protokolle berücksichtigen – 66 % bei IR, 39 % bei MDR. Der häufigste Grund dafür conflict, dass sie den Analysten während der Untersuchung einfach nicht zur Verfügung standen (20 %). In anderen Fällen wurden die Protokolle von den Angreifern gelöscht (17 %) oder nicht lange genug aufbewahrt (7 %).  

(Ein Device zum Löschen von Protokollen ist übrigens die Microsoft-Binärdatei wevtutil.exe [Windows Event Utility]. Dadurch werden die Home windows-Ereignisprotokoll-IDs 1102 [für Sicherheitsprotokolle] und 104 [für Systemprotokolle] ausgegeben. Unternehmen sollten ihre Sicherheitswerkzeuge und Menace-Searching-Instruments so konfigurieren, dass sie auf diese Aktivität hingewiesen werden.) 

Der Anstieg von Brute-Drive-Angriffen als Grundursache stimmt mit den Statistiken für den Erstzugriff überein (TA0001). Am häufigsten wurden Exterior Distant Companies (T1133) verwendet (71 %). Wie bereits erwähnt, ist das häufig eng mit Legitimate Accounts (T1078) verbunden – in diesem Jahr in 78 % der Fälle. Die am zweithäufigsten genutzte Methode für den Erstzugriff conflict eine Public-Dealing with Utility (T1190). Die schlimmste Schwachstelle dahingehend conflict CVE-2023-4966 (Citrix Bleed, 5 %). Andere Faktoren waren exponierte Distant-Desktop-Infrastruktur (18 %), anfällige VPNs (12 %) und exponierte interne Companies (11 %). 

Die Rolle von TTP
In einem früheren Report haben wir gezeigt, dass es hinsichtlich der TTPs kaum Unterschiede zwischen Angriffen mit kurzer (5 Tage oder weniger) und langer (über 5 Tage) Verweildauer gab. Diese Daten stammten nur aus IR-Fällen. Wenn wir uns die diesjährigen Zahlen ansehen, ist der Vergleich zwischen IR und MDR besonders interessant.  

In den MDR-Fällen waren geringfügig mehr Artefakte zu entdecken (+24 %), obwohl der MDR-Datensatz etwa 240 % größer conflict als der IR-Datensatz. Hinsichtlich der zehn von Angreifern am häufigsten genutzten Instruments gab es eine Überschneidung von 60 %. Zu den am häufigsten missbrauchten legitimen Instruments gehörten einige bekannte: SoftPerfect Community Scanner, AnyDesk, WinRAR und Superior IP Scanner (siehe Abbildung 4).

rapport active adversary

Abbildung 4: Die Instruments, die für IR- und MDR-Fälle missbraucht wurden, sind auf den obersten Plätzen der Rangliste relativ ähnlich. Doch es gibt verblüffende Unterschiede, und einige fehlen ganz überraschend. 

Bei den Microsoft-Binärdateien zeigt sich eine engere Korrelation zwischen den Datensätzen. Die High Ten der missbrauchten LOLBins überschneiden sich in 70 % der Fälle (siehe Abbildung 5). Auf dem MDR-Spitzenplatz löste cmd.exe den ehemaligen Gewinner RDP als die am häufigsten missbrauchte LOLBin ab. Das ist nicht besonders überraschend, da viele MDR-Fälle einen begrenzten Radius haben: Wenn Analysten die Erlaubnis haben, isolieren sie automatisch die betroffenen Hosts und begrenzen damit die möglichen Seitwärtsbewegungen der Angreifer. 

 rapport active adversary

Abbildung 5: LOLBin-Missbrauch zeigt sich in beiden Bereichen recht gleichförmig. Hinsichtlich RDP ist zwar ein Unterschied vorhanden, aber nicht bedeutend. 

Im letzten Vergleich sehen wir uns die „anderen“ Ergebnisse an, additionally diejenigen Techniken und Spuren, die nicht in die beiden Hauptkategorien fallen. In den High Ten gibt es 80 % Überschneidungen zwischen IR- und MDR-Fällen. Abbildung 6 zeigt, dass das Erstellen von Konten, das Löschen von Dateien, das Installieren von Companies, das Ausführen schädlicher Skripte und das Bearbeiten der Registry die dominanten Techniken ausmachten. Andere – wie SAM-Dumping (Safety Account Supervisor) – waren in einem Datensatz häufiger als im anderen. 

Abbildung 6: In über der Hälfte der Fälle nutzten die Angreifer bekannte, ähnliche TTPs.  (Der Gesamtprozentsatz liegt über 100 %, da die meisten Fälle in dieser Kategorie mehrere Ergebnisse haben.) 

The Chew from Inside (zur Wiedervorlage)
Wie üblich sehen wir uns gern noch einmal einige Ergebnisse aus den vorherigen Stories an, insbesondere wenn der berücksichtigte Datenzeitraum damals unter 12 Monaten lag. Im folgenden Abschnitt besprechen wir noch einmal die Kernaussagen unseres letzten Stories (die für das erste Halbjahr 2024 galten) und vergleichen sie mit dem Datensatz für das ganze Jahr. 

LOLBins
Der Missbrauch von Microsoft-Binärdateien ging in der zweiten Hälfte des Jahres 2024 ungehindert weiter, und auch der Anteil eindeutiger LOLBins im Vergleich zu vorherigen Jahren stieg. In der ersten Jahreshälfte 2024 conflict ein Anstieg von 51 % bei der Anzahl eindeutiger LOLBins zu verzeichnen, und bis zum Ende des Jahres waren wir bei 126 % mit über 2023 Vorkommen. Im zweiten Halbjahr gab es einen Anstieg von 17 % an Fällen und von 24 % an missbrauchten eindeutigen Binärdateien. Es gab keine bedeutsamen Unterschiede bei den individuellen Binärdateien, die im Laufe des Jahres Ziel der Angreifer waren. In der ersten und zweiten Hälfte gab es Überschneidungen von 95 % in Bezug auf die 20 am häufigsten missbrauchten Instruments bei IR- und MDR-Fällen. Instruments, die für Enumerationen genutzt werden können, sind weiterhin in beiden Datensätzen stark vertreten und machen 50 % der 20 am häufigsten missbrauchten Binärdateien aus. 

Notepad.exe conflict dieses Jahr zum ersten Mal in den High Ten vertreten. Eingesetzt wurde es von den Angreifern hauptsächlich zum Durchsuchen von Dateien im Netzwerk, auch von solchen, in denen Passwörter in Klartext gespeichert waren (5 %). Instruments wie Notepad können übrigens helfen, Angriffe zu erkennen. Es gibt zum Beispiel verschiedene Möglichkeiten, Notepad zu öffnen: indem man auf das Notepad-Icon klickt, indem man „notepad“ in die Home windows-Suche eingibt oder „notepad.exe“ in die Befehlszeile. Wenn man sich über diese drei Startmethoden im Klaren ist, kann man auf die Absicht der Verwendung des Programms schließen. 

Das gilt auch für Instruments wie PowerShell. Wir schlagen hier nicht vor, dass solche Instruments von der IT nicht mehr verwendet werden sollten, aber es gibt einige schnelle Heuristiken, die man im Erkennungs-Engineering anwenden kann. Struggle das PowerShell-Skript beispielsweise stark verschleiert, und hat es eine Verbindung zum Web hergestellt? Wenn ja, sollte es vermutlich untersucht werden. 

Das größte Downside mit LOLBins: Sie erzeugen generell viel Lärm, und die IT-Groups müssen jedes Mal herausfinden, von wo das Sign kommt. 

Distant Desktop Protocol (RDP)
RDP steht weiterhin ganz oben bei den am häufigsten missbrauchten Microsoft-Instruments. Im Jahr 2024 wurde es von den Angreifern in 84 % der Fälle genutzt, davon in 67 % der Fälle nur für interne laterale Bewegungen und in 3 % der Fälle nur extern. Dazu kommen die Fälle, in denen es intern und extern eingesetzt wurde. Damit kommen wir auf 83 % bzw. 19 %.  

Obwohl RDP so oft missbraucht wird und es eigentlich verbannt werden sollte, verstehen wir auch, warum es immer noch in Netzwerken zu finden ist. So haben wir zumindest die Gelegenheit zu erforschen, wie wir seine Nutzung beschränken und es für die Erkennung von Angreifern instrumentalisieren können. 

Idealerweise wird jegliche RDP-Nutzung durch Netzwerkengpässe und Benutzeridentitäten beschränkt. Wo möglich, sollte dem Authentifizierungsablauf eine MFA hinzugefügt und das Prinzip der geringsten Privilegien angewendet werden. Durch eine solche Verwendungsbeschränkung und detailliertes Wissen dazu, wie RDP normalerweise aussehen sollte, wird es einfacher, Anomalien zu erkennen. 

Es gibt mehrere Möglichkeiten, Authentifizierungsereignisse zu erkennen, aber grob gesagt hilft es, nach den Home windows-Protokollierungsereignissen mit den IDs 4624 und 4625 zu suchen. 4623 ist ein erfolgreiches Authentifizierungsereignis, 4625 ein fehlgeschlagenes. Erfolgreiche Anmeldeereignisse können zum Beispiel helfen, einen Angreifer mit gültigen Anmeldedaten außerhalb der normalen Verwendung zu erwische, während mehrfache fehlgeschlagene Versuche eine frühzeitige Warnung vor Brute-Drive-Aktivitäten sind. 

Ebenfalls als Indikator lässt sich die Benennung von Geräten nutzen: Viele Firmen folgen dafür einem unternehmensweiten Customary. Erfolgreiche Authentifizierungen, die diesem Customary nicht entsprechen, sollten immer untersucht werden. Falls Ihr Unternehmen keinen solchen Customary hat, sollten Sie darüber nachdenken, einen umzusetzen, um damit einen weiteren passiven Stolperdraht für die Angreifer zu spannen. Ebenfalls aufmerksam werden sollten Sie, wenn der Hostname „kali“ in Ihrem Netzwerk auftaucht (wie in 6 % unserer Fälle). 

Und schließlich können Sie sich auf den Zeitzonen-Bias in der RDP-Protokollierung stützen. Das ist der Zeitunterschied des Distant-Shopper (UTC). Ein Beispiel: Wenn sich die meisten Ihrer Benutzer in UTC-6 befinden, sich aber ein anderweitig unauffälliger Distant-Shopper mit gültigen Anmeldedaten und einem regular aussehenden Hostnamen anmeldet, aber der Zeitzonen-Bias um drei Stunden versetzt ist, sollten Sie sofort Nachforschungen anstellen. (Es gab übrigens auch Fälle, in denen harmlos aussehende Maschinen eine Verbindung herstellten, aber aus irgendeinem Grund einen Drucker mit einem russischen Namen freigaben …) 

Der Gedanke hinter diesen Erkennungsmöglichkeiten? Wir lauschen auf unzusammenhängende, manchmal laute, manchmal leise Signale und kombinieren sie so, dass wir ein stärkeres, zuverlässigeres Sign erhalten.   

Wenn Sie mehr über RDP und Möglichkeiten zur Erkennung von Missbrauch erfahren möchten, werden Sie hier fündig. 

Seine Gegner kennen
Im letzten Report hatten wir vorhergesagt, dass es 2024 nicht den einen dominanten Ransomware-Gegner geben würde – früh im Jahr conflict LockBit zerschlagen worden, was 2023 am meisten Unheil angerichtet hatte, und so conflict das Spielfeld für die nächsten Angreifer weit offen. Wie Abbildung 7 zeigt, hatten wir recht: Akira ist nach oben geklettert, aber ohne großen Abstand zu den Nachfolgenden. (LockBit conflict hingegen Anfang letzten Jahres so dominant, dass es trotz seiner Zerschlagung immer noch Spitzenreiter conflict.) Im zweiten Halbjahr machte Fog sich breit und übernahm den ersten Platz von Akira. (Das MDR-Staff hatte zu Beginn des zweiten Halbjahres noch hier und da mit LockBit zu tun, aber zum Ende hin conflict das wirklich vorbei.) Dieses Muster kann 2025 (unter anderem) durch Veränderungen in der Koordination der Strafverfolgungsbehörden noch aufgebrochen werden – auch weil LockBit ein Comeback verspricht. Wir werden sehen. 

rapport active adversary

Abbildung 7: Ruhm ist vergänglich, wie LockBit in der zweiten Jahreshälfte 2024 erkennen musste. Und schon gibt es einen Nachfolger: Fog. 

In gewisser Weise ist es beruhigend, wenn man Angriffe einem bestimmten Gegner zuordnen kann. Aber oft kämpfen Experten gegen Kräfte, die eigentlich auf ihrer Seite stehen sollten – zum Beispiel, wenn im Unternehmen als Ganzem Entscheidungen getroffen werden, die für die IT nur noch einen Konflikt mehr bedeuten. In der folgenden Case Research sehen wir, wie das bei einem MDR-Kunden ausging. 

Case Research: Ungeklärte Prioritäten
Wir erklären natürlich wieder und wieder, dass es ohne grundlegende Sicherheit nicht geht (additionally: „Schließen Sie Ihre exponierten RDP-Ports“, „Nutzen Sie MFA“, „Patchen Sie anfällige Systeme“), aber wenn sich auf Geschäftsseite etwas ändert, auf das die IT-Experten keinen Einfluss haben, ist das nicht immer so einfach. So kämpfen sie nicht nur mit Bedrohungen von außen, sondern auch mit neuen geschäftlichen Prozessen und dem Change Administration. Und manchmal hat das schwerwiegende Folgen, wie auch einer unserer MDR-Kunde erfahren musste: Über eine VPN-Schwachstelle drang ein Angreifer in das Netzwerk ein – die Ransomware wartete additionally praktisch schon hinter den Kulissen. Erkannt wurde der Angriff zwar, doch es gab einen Konflikt zwischen denen, die die Sicherheit so schnell wie möglich wiederherstellen wollten, und dem Unternehmen im Allgemeinen, das andere Prioritäten hatte.  

Wenn zwei sich streiten
Dieser Fall ist noch nicht lange her. Das Sophos MDR-Staff wurde zur Hilfe gerufen und konnte einen der üblichen Verdächtigen ausfindig machen, über den der Erstzugriff erfolgt conflict: eine ungepatchte VPN-Equipment. Genauer gesagt: Eine FortiGate-Firewall lief mit Firmware-Model 5.6.11 aus dem Juli 2010. Die Firewall selbst hatte im Oktober 2021 ihr Finish-of-Life erreicht. Zudem gab es eine Fehlkonfiguration in den VPN-Benutzerzugriffssteuerungen.  

Nach dem Erstzugriff bewegte sich der Angreifer lateral bis zum Domänen-Controller, nutzte AV-Killer-Instruments und Enumerationen und erlangte auf verschiedenen Geräten im System Persistenz. In diesem Standing unterbracht das MDR-Response-Staff die Aktivitäten des Angreifers, und es kehrte Ruhe ein.  

Es empfahl dem Kunden als dringende Mindestmaßnahme, die 14 Jahre alte VPN-Firmware zu patchen und in der Zwischenzeit das SSL-VPN zu deaktivieren. Doch die Geschäftsprozesse sprachen dagegen – eine völlige Deaktivierung würde sich ungünstig auf die Geschäftstätigkeiten auswirken. Und so konnten die Patches zwei Monate (!) lang nicht angewendet werden. Die Fehlkonfiguration, so schätzte der Kunde, könne man innerhalb einer Woche beseitigen. 

Wir können niemanden zwingen
Leider können wir als Incident Response nur Empfehlungen abgeben. Wir können niemanden zwingen. Und manchmal muss man dann dabeistehen und zusehen, wie sich die Geschichte wiederholt. Denn genau das geschah: Nur 14 Monate zuvor hatte derselbe Kunde schon einmal einen ähnlichen Angriff erfahren, in dem dasselbe anfällige VPN eine Rolle gespielt hatte. Damals hatte er noch keine MFA für die VPN-Anmeldungen aktiviert. Mit einem Brute-Drive-Angriff wurden Schutzvorrichtungen deaktiviert und Anmeldedaten missbraucht. Dabei conflict auch ein wichtiges Dienstkonto, sodass der Kunde, obwohl es geholfen hätte, seine Anmeldedaten nicht zurücksetzen konnte. Auch das conflict wegen bestimmter Anforderungen des Geschäftsbereichs geschehen. (Auf dieses Dienstkonto werden wir übrigens noch einmal zurückkommen.) 

Zwischen dem ersten und dem zweiten Angriff lagen, wie gesagt, 14 Monate. Der dritte erfolgte dann viel schneller. 

Aller guten Dinge sind drei
Der zweite Angriff conflict additionally vorbei. Die VPN-Fehlkonfiguration, das VPN und das Dienstkonto warteten geduldig darauf, dass die Geschäftsprozesse ein Patching erlaubten. Ebenso die Experten. Die Angreifer hingegen warteten nicht. Nur neun Tage nach Beendigung des zweiten Angriffs stürzte CryTOX sich auf die Schwachstellen – auf das kompromittierte Dienstkonto und das ungepatchte, immer noch fehlkonfigurierte VPN. Die Ransomware verbreitete sich rasend schnell lateral im System, machte den Endpoint-Safety-Prozessen den Garaus und verschlüsselte schließlich die gesamte Umgebung. 

Ein positives Ergebnis hatte der dritte Angriff immerhin: Das VPN wurde deaktiviert. (Auch wenn die betroffenen Konten immer noch ohne Zurücksetzen der Zugangsdaten reaktiviert wurden.) Nicht alle Unternehmen haben so viel Pech. Aber in diesem Fall conflict der Kunde das Risiko eingegangen, seine Geschäftsprozesse über die IT-Sicherheit zu stellen – und hatte haushoch verloren.

Das Beste vom Relaxation
Eine interessante Statistik haben wir noch.  

Zusätzlich zum generellen Anstieg der Fälle sehen wir im Datensatz 2024 im Jahresvergleich den höchsten Anstieg bei TTPs. Im Vergleich zu 2023 stieg die Anzahl der missbrauchten Instruments um 80 %. Bei den LOLBins sogar um 126 % und bei allen anderen um 28 %. Interessant daran ist der lange Rattenschwanz der jeweiligen Kategorie – additionally die Anzahl der Instruments, LOLBins oder anderen Elemente, die im Datensatz zehnmal oder weniger auftraten. Wenn wir alle Einzelfunde zusammenzählen, kommen diese seltenen Fälle auf 35 % insgesamt (689 Funde von 1945 insgesamt; 334 eindeutige Elemente), 12 % aller LOLBins (508 Funde von 4357 insgesamt; 184 eindeutige Elemente) und 12 % aller anderen (476 Funde von 4036 insgesamt; 189 eindeutige Elemente).  Für uns haben diese Fälle eine geringere Analysepriorität als die dominanten Angriffsarten ganz oben in der TTP-Rangliste. 

Keine Zeit zu verschwenden
Angreifer trödeln nicht. 2023 haben wir zum ersten Mal darüber gesprochen, dass es immer schneller geht, das Lively Listing zu kompromittieren. Und tatsächlich gibt uns die Statistik Recht: Inzwischen sind die Angreifer bei 0,46 Tagen gelandet. Anders ausgedrückt: Wenn sie einmal in die Umgebung eingedrungen sind, dauert es nur noch 11 Stunden, bis sie den AD-Server erreicht haben. Auf den meisten (62 %) der kompromittierten Server liefen Betriebssysteme, für die es keinen Mainstream-Help mehr gibt. 

Spiele ohne Grenzen
Ebenfalls 2023 berichteten wir zum ersten Mal, dass die Angreifer sich bestimmte Zeiten für die Ausführung ihrer Ransomware-Payloads aussuchen. Mit mehr Daten werden diese Werte zwar etwas unschärfer, aber die Aussage stimmt noch immer. Im Jahr 2024 wurden 83 % der Ransomware-Binärdateien außerhalb der Geschäftszeiten des Opfers – additionally abends und nachts – ausgeführt. (Der höchste Wert betrug 88 %.) Was den Wochentag angeht, gibt es anscheinend keine Präferenz. 

Häufig missbrauchte Instruments
Die Anzahl und Artwork der (legitimen und bösartigen) Instruments in dieser Kategorie sind schon seit vielen Jahren gleich. In diesem Jahr gab es, zusätzlich zu den bereits besprochenen Problemen, einige Highlights. 

Die Anzahl der Angriffe mit Cobalt Strike ist deutlich zurückgegangen. Von 2020 bis 2022 hatte das Device ganz oben gestanden und 2023 noch auf dem zweiten Platz. Aber 2024 steht es nur noch auf Platz 13 mit nur 7,51 % aller Fälle. Weil es jedoch so lange das Lieblingstools der Angreifer conflict und in den letzten fünf Jahren 25 % der Angriffe ausgemacht hat, steht es auf der ewigen Rangliste immer noch ganz oben. Der Rückgang liegt unserer Meinung nach an den besseren Präventions- und Erkennungskapazitäten. Cobalt Strike conflict so beliebt, weil es effektiv conflict. Jetzt ist es weniger effektiv – und somit weniger beliebt. Das sind zwar gute Neuigkeiten, aber natürlich wird irgendein anderes Device seinen Platz einnehmen. 

Ein Device, das wir nun deutlich häufiger sehen, ist Impacket. Impacket-Instruments sind nicht neu und können ganz verschieden eingesetzt werden, zum Beispiel zum Manipulieren von Netzwerkprotokollen, für Credential Dumping und Auskundschaftungen. Ihr Missbrauch ist von 0,69% im Jahr 2021 auf 21,43 % im Jahr 2023 angestiegen. 2024 hat es dann alle anderen Instruments überholt und steht nun an erster Stelle.  Das am häufigsten verwendete Impacket-Device conflict wmiexec.py. Es spielte in 35 % der Angriffe eine Rolle. (Wir geben in unseren Statistiken wann immer möglich die spezifische Impacket-Unterklasse an. Ist die Unterklasse nicht klar, wird der Fall einfach als Impacket klassifiziert.) 

Altehrwürdig, aber von Jahr zu Jahr weniger wichtig geworden ist mimikatz, ein Device für den Diebstahl von Zugangsdaten, das in den letzten Jahren etwa ein Viertel der Fälle ausmachte, aber 2024 nur noch bei 15 % landete. Wodurch dieser Rückgang verursacht wird, können wir nicht klar sagen. Er kann aber durchaus mit der häufigeren Verwendung der Impacket-Instruments zu tun haben, insbesondere mit dem Skript secretsdump.py, mit dem man Hashes von Distant-Systemen auslesen kann.+++ Das entspräche dem im Jahresvergleich ansteigenden Distant-Registry-Dumping und der Halbierung von LSASS-Dumps (die in unseren Daten meist mimikatz zugewiesen sind). Secretsdump.py conflict in mindestens 6 % der Angriffe aktiv und nach wmiexec.py das am zweithäufigsten genutzte Impacket-Device. 

Von den 15 am häufigsten missbrauchten Instruments werden 47 % häufig für die Exfiltrierung von Daten verwendet. Zu diesen Instruments gehören bekannte Archivierungs- und Dateiübertragungsprogramme. 

Andere Ergebnisse
Seit wir die Verfügbarkeit einer Multi-Faktor-Authentifizierung (MFA) in betroffenen Unternehmen mitverfolgen, können wir auch hier die Auswirkungen analysieren. 2022 hatten 22 % der Opfer keine MFA. Dieser Anteil hat sich bis 2024 verdreifacht (63 %). Hier gab es keinen wesentlichen Unterschied zwischen den IR-Fällen (66 %) und den MDR-Fällen (62 %). Das zeigt, dass Unternehmen trotz gründlicher Erkennungs- und Reaktionsprogramme immer noch Angriffen ausgesetzt sind.  

Eine weitere Kennzahl ist der Anteil ungeschützter Systeme, die wir in betroffenen Unternehmen gefunden haben: Es gab sie in 40 % der analysierten Fälle. Wenn wir anfällige VPNs (12 %), anfällige Systeme (11 %) und Finish-of-Life-Systeme (5 %) in einigen dieser Umgebungen hinzuzählen – in der Case Research dieses Stories fanden wir zum Beispiel alle drei –, ist es kein Wunder, dass die Angreifer sich fühlen wie der Fuchs im Hühnerstall. 

Man magazine sich fragen, warum wir im MDR-Bereich immer noch Ransomware-Fälle haben. Ein wichtiger Grund: ungeschützte Systeme und ihre Anfälligkeit für Distant-Ransomware. Die schädlichen Aktivitäten (Eindringen, Payload-Ausführung und Verschlüsselung) erfolgen auf nicht verwalteten Geräten und werden daher selbst von den Sicherheitslösungen des Unternehmens nicht erkannt. Einzig die Übertragung von Dokumenten von einem System auf ein anderes weist dann auf eine Kompromittierung hin. Unsere Telemetrie zeigt, dass es seit 2022 zu einem jährlichen Anstieg von 141 % bei absichtlichen Distant-Verschlüsselungsangriffen gekommen ist (siehe Abbildung 8). (Wir haben bereits über den Kampf gegen Distant-Ransomware gesprochen, unter anderem in einem Deep Dive zu unserer CryptoGuard-Technologie. Da sich die Fälle mehren, könnte Distant-Ransomware in einem späteren Lively Adversary Report noch eine größere Rolle spielen.)

Abbildung 8: Laut Sophos X-Ops ist die Anzahl der Distant-Ransomware-Angriffe seit 2022 um 141 % gestiegen. In den letzten 18 Monaten ist das besonders zu beobachten. 

Was die Exfiltrationsstatistiken angeht, leidet ihre Genauigkeit darunter, dass oft der Einblick fehlt, wie Daten im Netzwerk verschoben werden. Auch Protokolle sind nicht vorhanden. 2024 kam es in 27 % unserer Fälle zu einer Exfiltration. Wenn wir die Beweise für Daten-Staging und eine mögliche Exfiltration hinzuziehen, sind wir bei 36 %. Bei Ransomware-Opfern wurden die Daten in 43 % der analysierten Fälle exfiltriert. Bei weiteren 14 % fanden sich Hinweise auf eine mögliche Exfiltration oder Beweise für Daten-Staging. Exfiltrationen finden generell am Ende eines Angriffs statt, anders als die Kompromittierung des AD, die möglichst schnell gehen soll. Die durchschnittliche Dauer bis zur Exfiltration betrug 72,98 Stunden (3,04 Tage) ab Beginn des Angriffs, aber nur 2,7 Stunden (0,11 Tage) von der Exfiltration bis zur Erkennung eines Ransomware-, Datenexfiltrations- oder Datenerpressungsangriffs. 

MITRE
Für diesen Report sehen wir uns üblicherweise die auch die MITRE-Auswirkungen an (TA0040). Da Ransomware dieses Jahr einen so wichtigen Platz einnimmt, ist es nicht verwunderlich, Knowledge Encrypted for Affect (T1486) weiterhin ganz oben zu sehen. Doch hinsichtlich des Rests sehen wir eine Likelihood für die Verteidiger: Die Ursachen von vielen der anderen Auswirkungen sind Ereignisse, die man intestine erkennen kann.

A table with three lists showing attack impact in IR data 2020-23, in IR + MDR data 2024, and for the full five-year time period, by percentage

Abbildung 9: Die MITRE-Auswirkungskategorien ändern sich im Laufe der Zeit, aber Knowledge Encrypted for Affect hat sich in den letzten fünf Jahren nicht vom ersten Platz bewegt und gilt auch 2024 für IR- und MDR-Fälle als Spitzenreiter. (Der Gesamtprozentsatz liegt über 100 %, da die meisten Fälle mehrere Auswirkungen haben.) 

Zum Beispiel wird Inhibit System Restoration (T1490) oft aufgerufen, weil die Angreifer Volumen-Schattenkopien löschen. Dabei werden Instruments wie vssadmin.exe, das Schattenkopie-Verwaltungstool (10 % der Fälle) oder die WMI-Befehlszeile (24 % der Fälle) eingesetzt. Man erkennt auch, wenn vssadmin zur Erstellung von Schattenkopien eingesetzt wird, was vor der Exfiltration geschieht. In 26 % der Fälle haben Angreifer Dateien gelöscht. Hier kann eine unerwartete Nutzung von del.exe auf einen Angriff hinweisen. Für solche verdächtigen Ereignisse lässt sich das Erkennungs-Engineering einsetzen, das auf den Lärm der Angreifer lauscht. 

Fazit
Den IT-Praktikern möchten wir zum Schluss sagen: Wir sehen Sie. Sie machen die Arbeit und Sie kennen das Geschäft. Sie wissen auch, welche Grenzen es gibt. Die gute Nachricht: Sie müssen nicht hilflos darauf warten, bis alles besser wird. Insbesondere nicht mit der richtigen Unterstützung.  

Für die Geschäfts- und Tech-Führungskräfte haben wir auch eine Empfehlung: Geben Sie Ihren IT-Groups eine Likelihood. Ja, Geld und Ressourcen sind knapp, und deshalb muss die IT oft mehr Arbeit und Verantwortung übernehmen, als sie leisten kann. Es magazine eigennützig klingen, wenn das Forschungsteam eines Anbieters für Sicherheitslösungen so etwas sagt, aber wir sind davon überzeugt, dass die IT sich darauf konzentrieren sollte, den Geschäftsbereich bestmöglich zu unterstützen. Den Schutz vor Angreifern hingegen sollten sie Experten überlassen können. Denn die Daten zeigen eine Sache ganz genau: Wenn jemand aufmerksam die IT-Umgebung im Blick behält und schnell und entschlossen handeln kann, verbessern sich die Ergebnisse ganz beachtlich. Ansonsten werden viel zu oft Fehler gemacht und wiederholt. Sie haben die Wahl und können Ihre Probleme versuchen intern zu lösen – oder sich Hilfe von außen holen. Die Daten sprechen für sich. 

Anmerkungen
Die Autoren und Autorinnen möchten sich bei den IR- und MDR-Groups von Sophos sowie Mark Loman, Chester Wisniewski, und Matt Wixey für ihren Beitrag bedanken. 

Anhang: Demografie und Methodologie
Für diesen Report haben wir 413 Fälle als Grundlage genommen, aus denen sinnvolle Informationen zum Zustand der Bedrohungslandschaft 2024 gezogen werden konnten. Da wir viel Wert auf die vertrauensvolle Beziehung zu unseren Kunden legen, steht die Sicherheit ihrer sensiblen Daten für uns an erster Stelle. Dementsprechend haben wir die genutzten Daten mehrfach im Prozess überprüft, sodass sich keine individuellen Kunden erkennen lassen – und auch sodass die Daten eines einzigen Kunden den Durchschnitt der Daten nicht unangemessen verzerrt. Wenn es bei bestimmten Fällen Zweifel gab, haben wir die entsprechenden Daten nicht in unseren Datensatz eingeschlossen.

Methodologie
Die Daten für diesen Report wurden im Laufe einzelner Analysen der Sophos-X-Ops-Groups für Incident Response und MDR erfasst. Für diesen ersten Report 2025 haben wir Fallinformationen von allen Analysen, die die Groups 2024 bereits durchgeführt haben, zusammengefasst und über 52 Bereiche normalisiert. Jeder Fall wurde darauf geprüft, ob er gemäß dem Fokus des geplanten Stories im Element und Umfang angemessen für eine zusammenfassende Berichterstattung conflict. Zudem haben wir die Daten zwischen den MDR- und IR-Reportingprozessen normalisiert. 

Wenn Daten unklar oder nicht verfügbar waren, haben wir mit individuellen IR- und MDR-Fällen gearbeitet, um Fragen zu klären. Vorfälle, die für den Zweck des Stories nicht ausreichend geklärt werden konnten oder bei denen wir glaubten, dass die Beziehung zum Kunden unter einer Veröffentlichung oder anderweitig leiden könnte, wurden nicht mit aufgenommen. Anschließend wurde der zeitliche Ablauf der Fälle einzeln untersucht, um Particulars wie Erstzugriff, Verweildauer, Exfiltration usw. zu festzustellen. 413 Fälle hielten den Untersuchungen stand und wurden als Grundlage für den Report verwendet. Die Daten im herunterladbaren Datensatz wurden weiterhin verfeinert, um die Anonymität unserer Kunden sicherzustellen.