IT-Security Cyberkriminelle stehlen vermehrt Anmeldedaten

Anbieter zum Thema

Cisco Systems GmbH (Switzerland)

FAULHABER SA

Cisco Talos, die Forschungsabteilung für Cybersicherheit, warnt vor aktuellen Gefahren durch Phishing über kompromittierte E-Mail-Konten von Kolleg:innen oder Geschäftspartnern. Denn 75 Prozent der beobachteten Phishing-Angriffe nutzen bereits gestohlene Anmeldedaten. Laut dem Bericht für das zweite Quartal 2025 von Cisco Talos gingen zwar die Phishing-Aktivitäten im Vergleich zum Vorquartal um 40 Prozent zurück, bleiben aber die häufigste Methode für den ersten Zugriff.

Die Angreifer konzentrieren sich dabei auf den Diebstahl von Anmeldedaten, um E-Mail-Konten des Unternehmens oder von Geschäftspartnern zu übernehmen. Mit den scheinbar vertrauenswürdigen Adressen versenden sie überzeugende Nachrichten, um Sicherheitsmassnahmen zu umgehen und das Vertrauen der Opfer zu gewinnen. Viele User werden dazu verleitet, ihre Anmeldedaten und MFA-Token auf gefälschten Anmeldeseiten einzugeben. Dadurch erhalten Angreifer wertvolle Informationen, die sie für weitere Attacken nutzen oder im Darknet verkaufen.

Neue Ransomware-Trends

Trotz der geringeren Aktivität ist Ransomware für 50 Prozent aller Vorfälle im zweiten Quartal verantwortlich. Talos IR beobachtete dabei erstmals die Familien Qilin und Medusa.

Bildergalerie

Die Qilin-Ransomware verwendet bisher unbekannte Tools und Taktiken. Der Angriff beginnt mit gestohlenen Anmeldedaten, gefolgt von einer lateralen Bewegung unter Verwendung von Fernzugriffstools. Die Angreifer setzen einen einzigartigen Verschlüsseler und neue Exfiltrationstechniken ein, darunter CyberDuck für den Datendiebstahl und Backblaze für Befehls- und Kontrollfunktionen. Sie stellen Persistenz sicher, indem sie automatisierte Prozesse zum Neustart der Ransomware nach Reboots und Anmeldungen einrichten. Dies verursacht grosse Systemschäden und erfordert eine vollständige Neuinstallation sowie die Zurücksetzung aller Passwörter im Unternehmen.

Ein besorgniserregender Trend ist auch die Verwendung der veralteten Skriptsprache PowerShell v1.0 bei einem Drittel der Ransomware-Angriffe. Denn hier fehlen Sicherheitsfunktionen wie Skriptprotokollierung und Antiviren-Integration. Cisco Talos rät Unternehmen, PowerShell 5.0 oder höher vorzuschreiben, um diese Risiken für ihr digitales Netzwerk zu reduzieren.

Der Bildungssektor war im zweiten Quartal 2025 weltweit die am stärksten betroffene Branche. Aber auch in der Fertigung, im Bauwesen und in der öffentlichen Verwaltung wurden hohe Ransomware-Aktivitäten beobachtet.

40 Prozent der Angriffe auf MFA

Über 40 Prozent der Vorfälle im zweiten Quartal betreffen Probleme mit der Multi-Faktor-Authentifizierung (MFA), wie Fehlkonfigurationen, fehlende oder umgangene Authentifizierung. Cisco Talos empfiehlt, MFA zu aktivieren und zu überwachen, um die Sicherheit des Unternehmensnetzwerks, auch angesichts KI-basierter Angriffe, zu verbessern.

«Die einzige Konstante bei Cyberkriminalität ist der Wandel», sagt Thorsten Rosendahl, Technical Leader von Cisco Talos. «Im zweiten Quartal geht der Trend bei Cyberkriminellen zum Handel mit kompromittierten Anmeldedaten als schnelle und wenig riskante Möglichkeit, um Geld zu machen. Phishing bleibt dabei äusserst effektiv für den ersten Zugriff. Unternehmen müssen daher MFA aktivieren und überwachen sowie Web Application Firewalls mit Flow-Logging für die Echtzeit-Erkennung von Cyberbedrohungen einsetzen. Denn Geschwindigkeit ist der entscheidende Faktor zwischen einem vereitelten und einem erfolgreichen Angriff – und wird aufgrund der zunehmend KI-basierten Attacken auf Unternehmensnetzwerke immer wichtiger.»

(ID:50550045)