Angreifer setzen verstärkt auf Datenexfiltration

18. April 2025
| Keine Kommentare
Angreifer setzen verstärkt auf Datenexfiltration
Anzeige

Beitrag teilen

Cyberkriminelle passen ihre Methoden an, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen, so die Ergebnisse eines aktuellen Threat Reports. Bei Ransomware-Attacken setzen die Angreifer verstärkt auf Datendiebstahl, sie verfeinern BEC-Betrügereien (Business E-Mail Compromise) und nutzen bekannte Schwachstellen aus, um Unternehmen weltweit zu infiltrieren.

Arctic Wolf betreibt eines der größten kommerziellen SOCs weltweit. Der Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gibt tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeigt weltweite Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen für das Jahr 2025.

Anzeige
Perfekte KMU-Cybersicherheit
So wehren kleine und mittlere Unternehmen von KI geführte Angriffe mit maßgeschneiderter Sicherheit ab

Neues Ransomware-Geschäftsmodell: Daten stehlen statt verschlüsseln

Trotz verstärkter Strafverfolgung machen Ransomware-Attacken mit 44 % den größten Teil der erfassten IR-Fälle aus. Da Unternehmen immer bessere Backup-Strategien aufbauen und so eine schnellere Recovery möglich ist, haben Cyberkriminelle ihre Strategie angepasst und setzen bei ihren Angriffen nahezu immer Datenexfiltration ein. So stahlen die Angreifer in 96 % der analysierten Ransomware-Fälle Daten. Die Täter können die erbeuteten Daten dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen.

Besonders gefährdet für diese Art der Angriffe sind die Fertigungs-Industrie und das Gesundheitswesen, da hier die Toleranz für Ausfallzeiten besonders gering ist, Attacken erhebliche Schäden zur Folge haben und besonders im Gesundheitssektor sensible, personenbezogene Daten als Druckmittel zur Zahlung verwendet werden.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

600.000 Dollar Lösegeld im Schnitt

Die durchschnittlichen Lösegeldforderungen betragen ähnlich wie im Vorjahr 600.000 USD – ein lukratives Geschäft für Cyberkriminelle. Gleichzeitig haben die Auswertungen gezeigt, dass Opferunternehmen die geforderten Beträge mit Hilfe von professionellen Ransom-Verhandlern deutlich senken können. So mussten Unternehmen, die mit Arctic Wolf zusammenarbeiten, durchschnittlich nur 36 % des ursprünglich geforderten Betrags zahlen.

„Ransomware-Gruppen haben ihr Geschäftsmodell weiterentwickelt: Selbst, wenn es eine gute Backup-Strategie gibt, setzt die Drohung, gestohlene Kundendaten zu veröffentlichen oder weiterzuverkaufen, Unternehmen massiv unter Druck – oft mit verheerenden finanziellen und reputativen Folgen“, erklärt Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Diese Taktik macht klassische Backups als alleiniges Schutzmittel wirkungslos. Unternehmen müssen daher verstärkt auf umfassende Bedrohungserkennung, Zero-Trust-Strategien und proaktive Security-Operations-Ansätze setzen, um Angriffe frühzeitig zu identifizieren und Datenabflüsse zu verhindern.“

Business E-Mail Compromise: Angreifer folgen dem Geld

Business E-Mail Compromise (BEC) ist eine Art von Phishing-Betrug per E-Mail, bei dem ein Bedrohungsakteur versucht, Mitglieder einer Organisation dazu zu bringen, beispielsweise Geldmittel oder vertrauliche Daten zu übermitteln (z. B. Account Compromise oder CEO Fraud). BEC Incidents machen 27 % der beobachteten IR-Fälle aus und sind damit weiterhin die zweithäufigste Betrugstaktik.

Im Fokus dieser Art des Cyberbetrugs stehen Organisationen, die im großen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungsbranche entfielen 26,5 % der BEC-IR-Fälle, etwa doppelt so viele wie auf die zweitplatzierte Branche Rechtswesen und Verwaltung. BEC-Angriffe machten damit sogar mehr als die Hälfte (53 %) der IR-Fälle im Finanz- und Versicherungswesen aus – die einzige Branche, in der BEC die Zahl der Ransomware-Vorfälle übertraf.

„Phishing und kompromittierte Zugangsdaten bleiben die Hauptursachen für BEC-Angriffe. KI ermöglicht Bedrohungsakteuren immer raffiniertere, personalisierte Attacken, sodass Awareness-Trainings allein nicht ausreichen, allen Vorfällen vorzubeugen – sie helfen aber, die Vielzahl unsauber ausgeführter Angriffe schnell zu erkennen. Unternehmen sollten deshalb neben Schulungen auch auf starke Zugangskontrollen setzen. Eine Kombination aus Passwortmanagement und moderner Multi-Faktor-Authentifizierung, etwa biometrischen Verfahren oder physischen Sicherheitsschlüsseln, ist entscheidend, um den unbefugten Zugriff effektiv zu verhindern“, erklärt Dr. Schmerl.

Wenige Schwachstellen werden überproportional oft ausgenutzt

Intrusions waren mit 24 % die dritthäufigste Ursache der aufgezeichneten IR-Fälle – ein deutlicher Anstieg gegenüber dem Vorjahr (14,8 %). So wurden 2024 über 40.000 Sicherheitslücken verzeichnet. Auch bei den kritischen und schwerwiegenden Schwachstellen gab es einen Anstieg um 134,46 %. Besonders betroffen waren auch hier wieder die Finanz- und Versicherungsbranche (15,3 %) sowie Bildungs- und gemeinnützige Institutionen (15,3 %).

In 76 % der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus, von denen alle bereits bekannte Sicherheitslücken waren, für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Die meisten dieser Vorfälle standen in Verbindung mit Remote-Access-Tools und von außen zugänglichen Systemen und Services. In einigen Fällen nutzten die Angreifer beispielsweise Fehlkonfigurationen wie offene Ports, von außen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten aus, um sich Zugang zu verschaffen. Dies zeigt deutlich, wie wichtig proaktives Patch-Management ist.

Patch-Management ist essenziell

„Viele Unternehmen zögern mit der Implementierung von Patches, obwohl Schwachstellen längst bekannt und Updates verfügbar sind. Oft fehlen klare Prozesse, es gibt Bedenken wegen möglicher Betriebsunterbrechungen oder personelle Engpässe bestehen. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle“, so Dr. Schmerl. „Ein effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren. Fehlen die internen Ressourcen, um dies abzudecken, können Unternehmen mit Security-Partnern wie Arctic Wolf zusammenarbeiten, die sie langfristig dabei unterstützen, ihre Sicherheitslage zu verbessern.“

Mehr bei ArcticWolf.com

 

Über Arctic Wolf

Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.

 

Passende Artikel zum Thema

Über 130.000 Datenschutzverstöße in Europa 2024

In den 15 europäischen Nationen gab es 2024 täglich über 365 Datenschutzverstöße, so die Ergebnisse einer aktuellen Analyse. In Deutschland ➡ Weiterlesen

F5 BIG-IP: BSI warnt vor hochgefährlichen Schwachstellen

Das BSI hat eine Warnung herausgegeben zu F5-Produkten, da diese mehrere hochgefährliche Sicherheitslücken aufweisen die geschlossen werden sollten. Die BIG-IP ➡ Weiterlesen

DDoS-Angriffe: Wichtigstes Mittel der Cyberkriegsführung

Im zweiten Halbjahr 2024 gab es weltweit insgesamt mindestens 8.911.312 DDoS-Angriffe, so die Ergebnisse eines aktuellen DDoS Threat Intelligence Reports. ➡ Weiterlesen

Cyberkriminalität: Russischsprachiger Untergrund ist führend

Ein neuer Forschungsbericht gibt einen umfassenden Einblick in den russischsprachigen Cyber-Untergrund. Dieses Ökosystem hat die weltweite Cyberkriminalität in den letzten ➡ Weiterlesen

Iran, Nordkorea, Russland: Staatliche Hacker setzen auf ClickFix 

Staatlich unterstützte Hackergruppen übernehmen zunehmend neue Social-Engineering-Techniken, die ursprünglich von kommerziell motovierten Cyberkriminellen entwickelt wurden. So wird ClickFix inzwischen verstärkt ➡ Weiterlesen

TA4557: Venom Spider zielt auf Personalabteilungen

TA4557, besser bekannt als Venom Spider, nutzt verstärkt Phishing aus und versucht seine Backdoor-Malware zu platzieren. Besonders im Fokus der ➡ Weiterlesen

IT-Resilienz: Cybersecurity auf Storage-Ebene

Mehr Datensicherheitsfunktionen für mehr IT-Resilienz auf Storage-Ebene: Cybersicherheitsverantwortliche können mit hochsicherem NetApp-Storage einen proaktiven Datensicherheitsansatz auf Storage-Ebene verfolgen und so ➡ Weiterlesen

Großbrauerei Oettinger von Ransomware attackiert

Die APT-Gruppe Ransomhouse hat nach eigenen Angaben erfolgreich die deutsche Brauerei Oettinger mit Ransomware attackiert. Auf der Leak-Seite der APT-Gruppe ➡ Weiterlesen

 

Storys
, , , , , , , ,