Sophos hat die neueste Ausgabe seines Sophos Lively Adversary Report 2025 veröffentlicht, der das Verhalten und die Techniken von Cyberkriminellen aus über 400 tatsächlichen Angriffen analysiert, die das MDR-Workforce (Managed Detection and Response) und die Incident-Response-Spezialisten 2024 durchgeführt haben. Der Report zeigt, dass sich die Angreifenden in erster Linie über externe Distant-Dienste Zugang zu Netzwerken verschafften (56 Prozent aller MDR- und IR-Fälle), indem sie gültige Konten ausnutzten, darunter Edge-Geräte wie Firewalls und VPNs.
Die Kombination aus externen Distant-Diensten und gültigen Konten deckt sich mit den Hauptursachen für Angriffe. Das zweite Jahr in Folge waren kompromittierte Anmeldedaten die Hauptursache für Angriffe (41 Prozent). Es folgen die Ausnutzung von Sicherheitslücken (22 Prozent) und Brute-Pressure-Angriffe (21 Prozent).
Tempo der Angriffe nimmt zu
Bei der Analyse von MDR- und IR-Untersuchen berücksichtigte das Sophos X-Ops Workforce insbesondere Ransomware-, Datenexfiltrations- und Datenerpressungsfälle, um zu ermitteln, wie schnell Cyberkriminelle die einzelnen Phasen eines Angriffs innerhalb eines Unternehmens durchlaufen. Bei diesen drei Arten von Fällen betrug die durchschnittliche Zeit zwischen dem Beginn eines Angriffs und der Datenexfiltration nur 73 Stunden, additionally etwa drei Tage. Darüber hinaus vergingen von der Exfiltration bis zur Entdeckung des Angriffs im Durchschnitt nur 2,7 Stunden.
„Passive Sicherheit ist mittlerweile nicht mehr ausreichend“, so John Shier, Discipline CISO bei Sophos. „Vorbeugung ist zwar wichtig, aber eine schnelle Reaktion ist entscheidend. Unternehmen müssen ihre Netzwerke aktiv überwachen und schnell auf beobachtete Auffälligkeiten reagieren. Koordinierte Angriffe von professionellen Cyberkriminellen erfordern auch eine koordinierte Verteidigung. Für viele Unternehmen bedeutet dies eine Kombination aus geschäftsspezifischem Wissen und von Experten geleiteter Erkennung und Reaktion. Unser Bericht bestätigt, dass Unternehmen mit aktiver Überwachung Angriffe schneller erkennen und bessere Ergebnisse bei der Abwehr erzielen.“
Weitere Ergebnisse des Sophos Lively Adversary Reviews 2025
- Angreifer benötigen im Schnitt in nur elf Stunden zur Systemübernahme
Zwischen der ersten Aktion eines Cyberkriminellen und seinem ersten (oft erfolgreichen) Versuch, in das Lively Listing – eines der wichtigsten Elemente in jedem Home windows-Netzwerk – einzudringen, vergingen im Durchschnitt der untersuchten Fälle nur elf Stunden. Wenn dies gelingt, können Angreifer sehr leicht die Kontrolle über das ganze Unternehmen übernehmen. - Alte Bekannte bei den häufigsten Ransomware-Gruppen
In den von Sophos untersuchten Fällen warfare Akira die am häufigsten auftretende Ransomware-Gruppe im Jahr 2024, gefolgt von Fog und LockBit – und das, obwohl LockBit Anfang des Jahres durch eine konzertierte Aktion der Strafverfolgungsbehörden vom Netz genommen wurde. - MDR als entscheidender Faktor für die Verweildauer der Kriminellen
Insgesamt ist die Verweildauer, additionally die Zeit vom Beginn eines Angriffs bis zu seiner Entdeckung, im Jahr 2024 von vier auf zwei Tage gesunken. Dies ist hauptsächlich auf die Aufnahme von MDR-Fällen in den Datensatz zurückzuführen. Die Verweildauer in IR-Fällen blieb stabil bei vier Tagen für Ransomware-Angriffe und 11,5 Tagen für Nicht-Ransomware-Fälle. In den untersuchten MDR-Fällen betrug die Verweildauer bei Ransomware-Angriffen drei Tage und bei Nicht-Ransomware-Fällen nur einen Tag. Dies deutet darauf hin, dass MDR-Groups in der Lage sind, Angriffe schneller zu erkennen und darauf zu reagieren. - Ransomware-Gruppen arbeiten über Nacht
Im Jahr 2024 wurden 84 Prozent der Ransomware-Binärdateien außerhalb der normalen, örtlichen Arbeitszeiten der Zielpersonen verbreitet. - Schwachstelle Distant Desktop Protokoll
Das Remonte Desktop Protokoll (RDP) warfare in 84 Prozent der MDR/IR-Fälle involviert und damit das am häufigsten missbrauchte Microsoft-Instrument.
Der vollständige, englische Bericht “The 2025 Sophos Lively Adversary Report” kann hier nachgelesen werden.
