Akteure konzentrieren sich auf Schwachstellen


Ransomware-Spitze: Opportunistische Auswahl der Opfer manuell durchgeführter Angriffe
70 Ransomware-Banden betriebenen Internet-Seiten zu Dateneinbrüchen im Dark Web – Dedicated Leak-Sites (DLS)


Der Februar 2025 war laut Experten der Bitdefender Labs ein Rekordmonat. Für Ihre Analyse im Rahmen des monatlichen Bitdefender Threat Debriefs werteten die Bitdefender-Experten, die von über 70 Ransomware-Banden betriebenen Internet-Seiten zu Dateneinbrüchen im Dark Web – Dedicated Leak-Sites (DLS) – und Informationen aus öffentlich verfügbaren Quellen (OSINT) aus. Im Vergleich zu 425 Opfern im Februar 2024 erhöhte sich deren Zahl im Februar 2025 auf 962 - eine Zunahme um 126 Prozent. Ein Hauptgrund für den Anstieg sind zunehmend opportunistische, automatisierte Scans bekanntgewordener Schwachstellen. Auf diese folgt dann nach oft mehrwöchiger Vorbereitung die manuell durchgeführte Attacke.

597 der dokumentierten Angriffe fanden ihre Opfer in den USA. Deutschland liegt mit 27 betroffenen Unternehmen auf Rang vier - hinter der Nummer zwei Kanada (58 Angriffe) sowie Großbritannien (36) und vor Frankreich mit 16 Angriffen.

Der Grund für diese steigenden Zahlen liegt in einem Strategiewechsel der Angreifer, der laut Martin Zugec, Technical Solutions Director bei Bitdefender "viele noch überrascht: Anstatt sich auf einzelne Unternehmen oder Industrien zu konzentrieren, gehen einige Ransomware-Gruppen zunehmend opportunistisch vor, indem sie neu entdeckte Software-Schwachstellen in Edge-Netzwerk-Geräten angreifen."

Ganz gleich, ob es sich um finanziell motivierte oder staatlich unterstützte Hackergruppen handelt – die Akteure konzentrieren sich auf Schwachstellen:
>> die eine hohe CVSS-Risikobewertung haben;
>> die den Hackern erlauben, im Fernzugriff die Kontrolle über ein System zu erlangen;
>> die Software betreffen, die über das Internet zugänglich ist; sowie
>> für die ein Exploit-Entwickler oder anderer böswilliger Akteur bereits einen Proof of Concept (PoC) veröffentlicht hat.

Um den ersten initialen Zugang über eine Schwachstelle zu erlangen, starten Angreifer oft innerhalb von 24 Stunden Scans auf der Suche nach verwundbaren Systemen. Der im Anschluss folgende manuelle Hack, der sich oft mit Living-off-the-Land-Techniken vor den Hackern tarnt, benötigt mehr Zeit. Ransomware-Attacken erfolgen daher mit einer typischen Verzögerung von Wochen oder Monaten.

Die im Februar aktivste Clop (CI0p)-Gruppe, der sich 335 von 962 Attacken zuordnen lassen, belegt dieses Muster. Sie nutzte die jeweils mit 9,8 bewerteten Schwachstellen CVE-2024-50623 und CVE-2024-55956 der File-Transfer-Software Cleo. Bekannt wurden die Schwachstellen im Oktober und Dezember 2024. Drei Monate später trägt die aufwändige manuelle Arbeit der Hacker verzögerte Früchte. (Bitdefender: ra)

eingetragen: 08.05.25

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Besonders im Fokus: Online-Banking Gefälschte CAPTCHA-Verifizierungstests

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen