Global Threat Landscape Report: Rekordanstieg bei automatisierten Cyberangriffen
Der FortiGuard Labs 2025 Global Threat Landscape Report weist auf den Boom von Cybercrime-as-a-Service im Darknet hin, der einen lukrativen Schwarzmarkt für Zugangsdaten, Exploits und unbefugten Zugang anheizt.
Fortinet hat seinen 2025 Global Threat Landscape Report von FortiGuard Labs veröffentlicht. Der neueste Jahresbericht ist eine Momentaufnahme der aktiven Bedrohungslandschaft und Trends für das Jahr 2024, einschließlich einer umfassenden Analyse aller bei Cyberangriffen verwendeten Taktiken, wie im MITRE ATT&CK-Framework beschrieben. Die Daten zeigen, dass Bedrohungsakteure zunehmend Automatisierung, kommerzielle Tools und KI einsetzen, um die traditionellen Vorteile der Verteidiger systematisch zu untergraben.
Ergebnisse des aktuellen Global Threat Landscape Reports
- Automatisiertes Scannen erreicht Rekordhöhen, wenn Angreifer nach links gehen, um exponierte Ziele frühzeitig zu identifizieren. Um von neu entdeckten Schwachstellen zu profitieren, setzen Cyberkriminelle weltweit automatisierte Scans ein. Das aktive Scannen des Cyberspace erreichte im Jahr 2024 ein noch nie dagewesenes Niveau – mit einem weltweiten Anstieg von 16,7 Prozent im Jahresvergleich. Dies deutet auf eine zunehmend raffinierte und breit angelegte Sammlung von Informationen über exponierte digitale Infrastrukturen hin. FortiGuard Labs verzeichnete monatlich Milliarden von Scans – das entspricht 36.000 Scans pro Sekunde – und zeigt damit einen verstärkten Fokus auf das Erkennen gefährdeter Dienste wie SIP und RDP sowie OT/IoT-Protokolle wie Modbus TCP.
- Darknet-Marktplätze ermöglichen den einfachen Zugang zu sorgfältig zusammengestellten Exploit Kits. Im Jahr 2024 fungierten Foren für Cyberkriminelle zunehmend als ausgeklügelte Marktplätze für Exploit-Kits, wobei mehr als 40.000 neue Schwachstellen in die National Vulnerability Database aufgenommen wurden – ein Anstieg um 39 Prozent im Vergleich zu 2023. Zusätzlich zu den im Darknet kursierenden Zero-Day-Schwachstellen bieten Initial Access Broker vermehrt Firmenzugangsdaten (20 %), RDP-Zugänge (19 %), Admin-Panels (13 %) und Web-Shells (12 %) an. Darüber hinaus verzeichneten die FortiGuard Labs im vergangenen Jahr einen 500-prozentigen Anstieg der Logs von Systemen, die durch Infostealer-Malware kompromittiert wurden. In diesen illegalen Foren wurden 1,7 Milliarden gestohlene Zugangsdaten ausgetauscht.
- KI-gestützte Cyberkriminalität nimmt rasant zu. Bedrohungsakteure nutzen KI, um Phishing-Angriffe realistischer zu gestalten und herkömmliche Sicherheitskontrollen zu umgehen, sodass Cyberangriffe effektiver und schwerer zu erkennen sind. Tools wie FraudGPT, BlackmailerV3 und ElevenLabs ermöglichen skalierbarere, glaubwürdigere und effektivere Kampagnen, ohne die ethischen Einschränkungen öffentlich verfügbarer KI-Tools.
- Gezielte Angriffe auf kritische Sektoren nehmen zu. Branchen wie Fertigung/Produktion, Gesundheitswesen und Finanzdienstleistungen erleben weiterhin eine Zunahme maßgeschneiderter Cyberangriffe, bei denen Angreifer branchenspezifische Exploits einsetzen. Im Jahr 2024 waren die am stärksten betroffenen Sektoren die Fertigung/Produktion (17 %), Business Services (11 %), das Bauwesen (9 %) und der Einzelhandel (9 %). Sowohl nationale Akteure als auch Betreiber von Ransomware-as-a-Service (RaaS) konzentrierten ihre Anstrengungen auf diese Branchen, wobei die USA mit 61 Prozent die meisten Angriffe verzeichneten, gefolgt von Großbritannien (6 %) und Kanada (5 %).
- Eskalierende Sicherheitsrisiken in der Cloud und im IoT. Cloud-Umgebungen sind nach wie vor ein Hauptangriffsziel, da Angreifer weiterhin anhaltende Schwachstellen wie offene Storage-Buckets, überautorisierte Identitäten und falsch konfigurierte Dienste ausnutzen. Bei 70 Prozent der beobachteten Vorfälle erlangten Angreifer Zugriff durch Anmeldungen aus unbekannten Regionen, was die entscheidende Rolle der Identitätsüberwachung bei der Cloud-Verteidigung unterstreicht.
- Anmeldedaten sind die Währung der Cyberkriminalität. Im Jahr 2024 haben Cyberkriminelle mehr als 100 Milliarden kompromittierte Datensätze in Untergrundforen geteilt, was einem Anstieg von 42 Prozent im Jahresvergleich entspricht. Dieser Anstieg ist vor allem auf die Zunahme von „Combo-Listen“ zurückzuführen, die gestohlene Benutzernamen, Passwörter und E-Mail-Adressen enthalten. Mehr als die Hälfte der Beiträge im Darknet betrafen geleakte Datenbanken, die es Angreifern ermöglichen, Credential Stuffing-Angriffe in großem Maßstab zu automatisieren. Bekannte Gruppen wie BestCombo, BloddyMery und ValidMail waren in diesem Zeitraum die aktivsten Cyberkriminellen und senken durch das Sammeln und Validieren dieser Anmeldedaten weiterhin die Eintrittsbarrieren. Dies führt zu einer Zunahme von Kontoübernahmen, Finanzbetrug und Industriespionage.
CISO-Erkenntnis: Stärkung der Cyberabwehr gegen neue Bedrohungen
Der Global Threat Landscape Report von Fortinet bietet umfassende Details zu den neuesten Angriffstaktiken und -techniken und liefert gleichzeitig konkrete Empfehlungen und umsetzbare Erkenntnisse. Der Bericht wurde zur Unterstützung von CISOs und Security-Teams entwickelt und bietet Strategien, um Bedrohungsakteure zu antizipieren und ihnen entgegenzuwirken, sodass Unternehmen neuen Cyberbedrohungen einen Schritt voraus bleiben können.
Der diesjährige Bericht enthält ein „CISO Playbook for Adversary Defense“, das einige strategische Bereiche hervorhebt, auf die Sie sich konzentrieren sollten:
- Übergang von der traditionellen Bedrohungserkennung zum kontinuierlichen Management der Bedrohungslage: Im Mittelpunkt dieses proaktiven Ansatzes stehen das kontinuierliche Management der Angriffsfläche, die realitätsnahe Nachbildung des gegnerischen Verhaltens, die risikobasierte Priorisierung von Gegenmaßnahmen sowie die Automatisierung von Erkennungs- und Abwehrprozessen. Durch den Einsatz von Bedrohungs- und Angriffssimulationstools (BAS) zur regelmäßigen Bewertung der Endpunkt-, Netzwerk- und Cloud-Abwehr gegen reale Angriffsszenarien wird die Widerstandsfähigkeit gegen Seitwärtsbewegungen und Ausnutzung gewährleistet.
- Angriffe aus der Praxis simulieren: Durchführen von Übungen zur Simulation gegnerischer Taktiken, einschließlich Red- und Purple-Teams, und Testen der Abwehrmaßnahmen gegen Bedrohungen wie Ransomware und Spionagekampagnen mit MITRE ATT&CK.
- Angriffsflächen reduzieren: Setzen Sie Tools zur Verwaltung der Angriffsoberfläche (Attack Surface Management, ASM) ein, um ungeschützte Ressourcen, durchgesickerte Anmeldeinformationen und ausnutzbare Schwachstellen zu erkennen, und überwachen Sie Darknet-Foren kontinuierlich auf neue Bedrohungen.
- Priorisierung von Schwachstellen mit hohem Risiko: Konzentration der Behebungsbemühungen auf Schwachstellen, die von Cybercrime-Gruppen aktiv diskutiert werden, und Nutzung risikobasierter Priorisierungsrahmen wie EPSS und CVSS für ein effektives Patch-Management.
- Nutzung von Dark Web Intelligence: Überwachung von Darknet-Marktplätzen auf neu auftretende Ransomware-Dienste sowie Beobachtung der Koordinationsbemühungen von Hacktivisten, um Bedrohungen wie DDoS- und Web-Defacement-Angriffe frühzeitig zu erkennen und proaktiv einzudämmen.
Derek Manky, Chief Security Strategist und Global VP Threat Intelligence, Fortinet FortiGuard Labs: „Der jüngste Global Threat Landscape Report von Fortinet macht eines deutlich: Cyberkriminelle beschleunigen ihre Anstrengungen und nutzen KI und Automatisierung, um mit beispielloser Geschwindigkeit und Größe zu operieren. Das herkömmliche Security Playbook reicht nicht mehr aus. Unternehmen müssen auf eine proaktive, datengestützte Verteidigungsstrategie umstellen, die durch KI, Zero Trust und kontinuierliches Management der Bedrohungslage unterstützt wird, um der sich rasant entwickelnden Bedrohungslandschaft einen Schritt voraus zu sein.“
