Thought Leadership
Im ersten Quartal 2025 zeigen sich klare Trends in der Cyberkriminalität. Phishing bleibt die häufigste Angriffsform, während gleichzeitig Ransomware-Angriffe zunehmen – insbesondere in der Fertigungs- und Baubranche.
Der aktuelle Cisco Talos Threat Report liefert beunruhigende Einblicke in das Vorgehen und die Ziele der Angreifer.
Phishing auf dem Vormarsch – Vishing wird zum Hauptwerkzeug
Phishing-Angriffe machten im ersten Quartal 2025 die Hälfte aller untersuchten Sicherheitsvorfälle aus. Besonders auffällig ist der starke Anstieg im Vergleich zum Vorquartal, in dem dieser Anteil noch unter zehn Prozent lag.
Die bevorzugte Variante war sogenanntes Vishing – also Phishing per Telefon. Diese Methode machte über 60 Prozent der Phishing-Fälle aus. Ziel ist meist, Zugangsdaten zu stehlen oder Benutzer zur Fernfreigabe ihrer Geräte zu überreden. Die Angreifer nutzen den so gewonnenen Zugang, um dauerhaft in Netzwerke einzudringen, Sicherheitssoftware zu deaktivieren und Schadsoftware zu installieren.
Eine besorgniserregende Entwicklung ist die Verknüpfung von Vishing mit Ransomware-Kampagnen. Über die Hälfte der von Cisco Talos begleiteten Vorfälle stand in Zusammenhang mit Ransomware oder deren Vorstufe („Pre-Ransomware“) – ein starker Anstieg gegenüber dem Vorquartal mit weniger als 30 Prozent.
In vielen Fällen begannen die Angriffe mit Spam-Mails. Anschließend kontaktierten die Angreifer ihre Opfer über Plattformen wie Microsoft Teams und forderten sie auf, Tools wie Microsoft Quick Assist zu starten. Darüber verschafften sie sich Fernzugriff, sammelten Systeminformationen und etablierten eine langfristige Präsenz im Netzwerk. Verwendet wurden unter anderem die Ransomware-Varianten BlackBasta und später Cactus, deren neue Version den Angreifern durch zusätzliche Steuerparameter mehr Kontrolle bietet.
Neue Bedrohung: Crytox und das HRSword-Werkzeug
Neben bekannten Akteuren trat im ersten Quartal auch die Gruppe Crytox stärker in Erscheinung. Ihre Angriffe zeichnen sich durch den Einsatz des Tools HRSword aus, das gezielt EDR-Schutzmaßnahmen (Endpoint Detection and Response) deaktiviert.
Die Gruppe verschlüsselt sowohl lokale als auch Netzlaufwerke und setzt ihren Opfern eine fünftägige Frist zur Zahlung eines Lösegelds. Die Kontaktaufnahme erfolgt beispielsweise über Messenger wie uTox. In einem Fall wurde eine öffentlich zugängliche, nicht durch Mehrfaktorauthentifizierung geschützte Anwendung als Einfallstor genutzt – die Folge war ein erfolgreicher Angriff auf zwei Hypervisoren, die mehrere virtuelle Server hosteten.
Schwachstellen im Schutz: Pre-Ransomware als letzte Verteidigungslinie
In rund 75 Prozent der Ransomware-Vorfälle befanden sich die Angreifer bereits in der sogenannten Pre-Ransomware-Phase – sie hatten also Zugriff auf Systeme, ohne die Verschlüsselung bereits aktiviert zu haben. Diese Phase stellt eine kritische Gelegenheit dar, einen Angriff zu erkennen und abzuwehren, bevor er größeren Schaden anrichtet.
Entscheidende Maßnahmen zur Abwehr in dieser Phase:
1. Starke Zugangskontrollen und korrekt konfigurierte MFA
In der Hälfte der analysierten Vorfälle gab es Probleme mit der Mehrfaktorauthentifizierung: entweder fehlte sie ganz, war falsch konfiguriert oder wurde gezielt umgangen.
2. Schnelle Reaktion durch Incident-Response-Teams
Ein besonders erfolgreiches Beispiel zeigt, wie eine sofortige Reaktion auf verdächtige Spam-Wellen zur Verhinderung eines Angriffs führte. Dank schneller IOC-Analysen konnten gezielte Gegenmaßnahmen eingeleitet werden.
3. Schutz und Härtung von Endpunkten
Fast 20 Prozent der untersuchten Unternehmen konnten Manipulationen an ihren EDR-Systemen nicht verhindern. Hier besteht Nachholbedarf, insbesondere bei der Absicherung über die Standardkonfiguration hinaus.
4. Schulung von Mitarbeitenden
Da etwa die Hälfte aller Angriffe auf Social Engineering basierte, ist die Sensibilisierung der Beschäftigten ein zentraler Faktor. Insbesondere Vishing hat sich als effektives Mittel zur Umgehung technischer Schutzmaßnahmen erwiesen. Regelmäßige Schulungen können dazu beitragen, verdächtige Kontaktversuche frühzeitig zu erkennen und zu melden.
Fazit
Die Bedrohungslage im ersten Quartal 2025 verdeutlicht, wie dynamisch und anpassungsfähig Cyberkriminelle agieren. Unternehmen, insbesondere aus der Industrie, müssen auf mehreren Ebenen zugleich aktiv werden – von technischen Schutzmaßnahmen über Zugangskontrollen bis hin zur gezielten Schulung ihrer Mitarbeitenden. Wer in der Pre-Ransomware-Phase schnell reagiert, hat noch eine Chance, größeren Schaden abzuwenden.
