Sophos hat seinen „Annual Risk Report: Cybercrime on Essential Road 2025 ” veröffentlicht. Die Cybersecurity-Fachteams analysieren darin die im Jahr 2024 angesammelten Telemetriedaten aus Sophos-Lösungen, Incident-Response-Fällen sowie MDR-Providers. Demnach ist Ransomware nach wie vor die größte Bedrohung gerade für KMUs – und profitiert stark von veralteten oder falsch konfigurierten Netzwerkgeräten – sie waren Einfallstor Nummer 1 für die Cyberkriminellen.
Ransomware machte 2024 etwa 70 Prozent der Sophos-Incident-Response-Fälle bei kleinen Unternehmenskunden aus. Bei mittelständischen Unternehmen von 500 bis 5000 Mitarbeitern lag dieser Wert sogar bei und über 90 Prozent. 25 Prozent der durch die Telemetrie bestätigten initialen Kompromittierungen gingen von Netzwerk-Edge-Geräten aus – Firewalls, virtuelle non-public Netzwerkgeräte und andere Zugangsgeräte. Die tatsächliche Zahl dürfte noch einmal deutlich höher sein. Entsprechend sind auch die fünf beliebtesten Einfallstore für Kriminelle zum Großteil an den Netzwerkgrenzen zu finden: VPN-Exploits (19 Prozent aller untersuchten Fälle) liegt mit großem Abstand auf Platz 1, gefolgt von kompromittierten Zugangsdaten (10,4 Prozent), den Distant-Entry-Instruments RDP und RDWeb (8 Prozent), Phishing (6,7 Prozent) und anderen Netzwerkgeräte (3 Prozent).
Sean Gallagher, Principal Risk Researcher bei Sophos, ordnet die Ergebnisse des Stories wie folgt ein: „In den letzten Jahren haben Angreifer gezielt Edge-Geräte ins Visier genommen. Erschwerend kommt hinzu, dass immer mehr Geräte am Ende ihrer Lebensdauer (EOL) im Umlauf sind – ein Drawback, das Sophos als „digitalen Detrius“, additionally die Infrastruktur „zumüllende Zerfallsprodukte“, bezeichnet. Da diese Geräte dem Web ausgesetzt sind und Patches oft nur eine geringe Priorität haben, sind sie für Kriminelle ein hochattraktives Ziel, um in Netzwerke einzudringen. Der Angriff auf Edge-Geräte ist jedoch nur Teil eines größeren Wandels, den wir beobachten: Angreifende müssen keine maßgeschneiderte Malware mehr einsetzen. Stattdessen können sie die Systeme von Unternehmen ausnutzen, deren Agilität erhöhen und sich an Orten verstecken, wo Sicherheitsverantwortliche nicht hinsehen.“
Weitere wichtige Ergebnisse des Berichts:
- Multifaktor-Authentifizierung (MFA) reicht immer häufiger nicht mehr aus. Angreifende umgehen MFA durch die Erfassung von Authentifizierungstoken. Dabei nutzen die Kriminellen eine Phishing-Plattform, um den Authentifizierungsprozess zu imitieren und die Anmeldedaten des Ziels zu erfassen.
- Die Prime-3-Ransomwarefamilien, die 2024 beobachtet wurden sind Akira (15,3 Prozent aller untersuchten Fälle), Lockbit (13,6 Prozent) und Fog (10,9 Prozent). Über alle Malwaregruppen hinweg liegen die Comand-and-Management-Angriffe vorne. Internet Shell belegt mit 9,8 Prozent Platz 1, gefolgt von Cobalt Strike mit 8 Prozent und dem Ransomware-Anführer Akira mit 4,9 Prozent.
- Angreifende bevorzugen kommerzielle Distant-Entry-Instruments. Die am häufigsten missbrauchten legitimen und vertrauenswürdigen Instruments waren PSExec (18,3 Prozent aller untersuchten Fälle) und AnyDesk (17,4 Prozent). Insgesamt waren Distant Entry Instruments in 34 Prozent der IR/MDR-Fälle involviert.
- Cyberkriminelle entwickeln ihre Social-Engineering-Taktiken weiter. Sie missbrauchen zunehmend QR-Codes (Quishing) und Telefonnachrichten (Vishing), um Unternehmen zu kompromittieren. Sie nutzen außerdem E-Mail-Bombing – eine Taktik, bei der innerhalb von ein bis zwei Stunden Tausende von Spam-E-Mails versendet werden.
- Software program-as-a-Service-Plattformen, die während der COVID-Pandemie von Unternehmen häufig eingesetzt wurden, um Distant-Arbeit zu unterstützen und die allgemeine Sicherheitslage zu verbessern, werden weiterhin auf neue Weise für Social Engineering, initiale Kompromittierung und die Verbreitung von Malware missbraucht.
- Kompromittierungen von Enterprise-E-Mails machen einen wachsenden Anteil der initialen Kompromittierungen bei Cybersicherheitsvorfällen aus – genutzt für die Verbreitung von Malware, den Diebstahl von Anmeldeinformationen und Social Engineering für eine Vielzahl krimineller Zwecke.
Alle Particulars zu den Analyseergebnissen der Sophos-X-Ops gibt es im englischsprachigen Bericht „Annual Risk Report: Cybercrime on Essential Road 2025 ”.
