Zum vierten Mal in Folge präsentiert Elastic Security Labs seinen Global Threat Report 2025, der auf realen Benutzertelemetriedaten basiert und wichtige Einblicke in die sich wandelnde Bedrohungslandschaft bietet. Der diesjährige Bericht untersucht, wie KI Bedrohungen neu definiert, hebt Bereiche hervor, in denen Angreifer ihre Bemühungen intensivieren, und bietet Unternehmen umsetzbare Strategien, um diesen neuen Risiken proaktiv entgegenzuwirken.
Wichtigste Highlights
-
Die Prioritäten der Angreifer unter Windows ändern sich. Die Taktikkategorie „ Ausführung“ hat nun fast doppelt so viel Anteil wie zuvor und übertrifft damit die Taktikkategorie „Verteidigungsflucht“ als Top-Taktik.
-
Die Angriffsfläche für Cloud-Angriffe ist hochkonzentriert. Bei über 60 % aller Cloud-Sicherheitsvorfälle lassen sich die Angreifer auf nur drei Ziele zurückführen: Erster Zugriff, Persistenz und Zugriff auf Anmeldeinformationen.
-
Angreifer nutzen KI als Waffe, um die Einstiegshürde für Cyberkriminalität zu senken. Wir haben einen Anstieg generischer Bedrohungen festgestellt, ein Trend, der wahrscheinlich durch Angreifer beeinflusst wird, die große Sprachmodelle (LLMs) verwenden, um schnell einfache, aber effektive bösartige Loader und Tools zu generieren.
-
Der Diebstahl von Browser-Zugangsdaten hat sich industrialisiert. Unsere Analyse von über 150.000 Malware-Proben ergab, dass mehr als jede achte darauf ausgelegt ist, Browserdaten zu stehlen. Dies ist nicht für den Einzelfall gedacht; diese Zugangsdaten sind der Rohstoff, der die Access-Broker-Ökonomie antreibt und anderen Angreifern einen stetigen Nachschub an Schlüsseln bietet, um Unternehmens-Cloud-Konten zu kompromittieren.
Was wir aus dem Bericht gelernt haben
Die Sicherheitslandschaft befindet sich in einem rasanten Wandel. Die KI-gestützten Bedrohungsinnovationen der Angreifer entwickeln sich durch optimierte Informationssynthese und automatisierte Arbeitsabläufe in beschleunigtem Tempo weiter. Dies führt zu vielfältigeren Fähigkeiten der Gegner und neuen, indirekten Zugangswegen. Es wird erwartet, dass sich die Rolle der KI auf beiden Seiten des Cyberkrieges mit der zunehmenden Verbreitung dieser Technologien deutlich verändern wird.
Dieser Bericht deckt Bedrohungsaktivitäten in der realen Welt auf und zeigt einen grundlegenden Wandel in der Art und Weise auf, wie Angreifer heute Erfolge erzielen. Es enthält außerdem einen neuen Abschnitt, der unsere Sichtbarkeit aus Nicht-Telemetrie-Quellen beschreibt und hervorhebt, welche Malware-Familien und Bedrohungsverhaltensweisen extern beobachtet wurden.
Zugangsvermittler setzen vermehrt auf Informationsdiebstahl, um sich von kollektiven Verteidigungsbemühungen fernzuhalten, wodurch das Risiko der Offenlegung von Zugangsdaten durch Cloud-Speicher und andere Dienste erheblich steigt. Trojanisierte Software, die etwa 61 % aller beobachteten Malware-Proben ausmachte, war ein wichtiger Faktor; die ClickFix-Methode ist eine der am häufigsten verwendeten Techniken zur Verbreitung von Trojanern und Infostealern. Mehr als 24 % der Malware-Proben unter Windows gehörten zu bestimmten Infostealer-Codefamilien.
Verteidigungsausweichtechniken belegen seit mehreren Jahren den Spitzenplatz. Dies ist auf Verbesserungen bei den Erkennungs- und Reaktionsmöglichkeiten zurückzuführen, die Angreifer dazu veranlassen, sich auf Endgeräte mit großem Potenzial für die Entwicklung von Exploits zu konzentrieren. Die Ausführung erreichte einen Anteil von über 32 % an den Techniken, gefolgt von der Abwehrumgehung mit 23 % und dem Erstzugang mit rund 19 %. Zusammengenommen zeigen diese übergeordneten Muster, dass Angreifer in den billigen Zugriff auf Systeme mit minimalem Risiko investieren, um schnell weiteren Schadcode auszuführen. Skriptbasierte und browserbasierte Techniken sowie Angriffe auf SaaS-Systeme zeigen uns einen weiteren Aspekt dieser Bedrohungstrends und verdeutlichen Bereiche, in denen viele Unternehmen ihre Abwehrmaßnahmen verbessern könnten.
Die Bedrohungsprofile für BANSHEE, EDDIESTEALER und ARECHCLIENT2 zeigen, wie einige der bekanntesten neuen Entdeckungen des Elastic Security Labs-Teams Infostealer einsetzten. REF7707, eine Bedrohungskampagne mit Beteiligung der Malware-Familien FINALDRAFT, PATHLOADER und GUIDLOADER, liefert Details darüber, wie eine spionagemotivierte Bedrohung mithilfe der GraphAPI von Microsoft für C2 die Abwehrmechanismen umging. Ohne die von unseren Kunden bereitgestellte Transparenz hätten diese Bedrohungen möglicherweise einen viel größeren Einfluss gehabt, bevor sie aufgedeckt wurden.
Navigieren Sie mit Elastic durch die Bedrohungslandschaft des KI-Zeitalters.
Elastic Security Labs hat sich zum Ziel gesetzt, der Nachrichtendienstgemeinschaft wichtige und zeitnahe Sicherheitsforschung bereitzustellen. Dieser Bericht offenbart eine Verschiebung der Bedrohungslandschaft – eine, in der KI immer häufiger als Werkzeug sowohl für Angreifer als auch für Verteidiger auftaucht. Mit Elastic als Partner unterstützt Sie dieser Elastic Global Threat Report 2025 dabei, fundierte Entscheidungen darüber zu treffen, wie Sie diesen sich ständig weiterentwickelnden Bedrohungen am besten begegnen können.
Die Entscheidung über die Veröffentlichung der in diesem Blogeintrag beschriebenen Leistungsmerkmale und Features sowie deren Zeitpunkt liegt allein bei Elastic. Es ist möglich, dass noch nicht verfügbare Leistungsmerkmale oder Features nicht rechtzeitig oder überhaupt nicht veröffentlicht werden.
In diesem Blogbeitrag haben wir möglicherweise generative KI-Tools von Drittanbietern verwendet oder darauf verwiesen, die ihren jeweiligen Eigentümern gehören und von ihnen betrieben werden. Elastic hat keine Kontrolle über die Tools von Drittanbietern und wir übernehmen keine Verantwortung oder Haftung für deren Inhalt, Betrieb oder Verwendung oder für Verluste oder Schäden, die sich aus Ihrer Nutzung solcher Tools ergeben können. Bitte seien Sie vorsichtig, wenn Sie KI-Tools mit persönlichen, sensiblen oder vertraulichen Informationen verwenden. Alle von Ihnen übermittelten Daten können für KI-Training oder andere Zwecke verwendet werden. Es gibt keine Garantie dafür, dass die von Ihnen bereitgestellten Informationen sicher oder vertraulich behandelt werden. Sie sollten sich vor der Verwendung mit den Datenschutzpraktiken und Nutzungsbedingungen aller generativen KI-Tools vertraut machen.
Elastic, Elasticsearch und zugehörige Marken sind Marken, Logos oder eingetragene Marken von Elasticsearch N.V. in den Vereinigten Staaten und anderen Ländern. Alle anderen Unternehmens- und Produktnamen sind Marken, Logos oder eingetragene Marken ihrer jeweiligen Eigentümer.