Brute-Force-Angriffe nehmen zu, dateilose Techniken nehmen zu und Angreifer entwickeln sich in Richtung Heimlichkeit und Skalierung
Obrela, ein weltweit führender Anbieter von Cyber-Risikomanagement und Managed Detection and Response (MDR), hat seinen H1 2025 Digital Universe Report veröffentlicht, der einen Einblick in die aktuelle globale Cyber-Bedrohungslandschaft gibt. Der Bericht zeigt, dass Angreifer zunehmend auf skalierbare Automatisierung und verdeckte In-Memory-Techniken zurückgreifen, um der Entdeckung zu entgehen und in kritische Systeme einzudringen.
Dem Bericht zufolge machten Brute-Force-Angriffe mehr als ein Viertel aller Alarmaktivitäten aus (27 %), während Schwachstellen-Scans (22 %) und IoC-Übereinstimmungen (20 %) die Abhängigkeit von der Automatisierung für den Erstzugang widerspiegeln. Dies verdeutlicht, dass Angreifer zunehmend auf skalierbare, automatisierte Methoden wie Brute-Force-Angriffe sowie auf verdeckte Techniken wie dateilose und speicherinterne Angriffe zurückgreifen, um herkömmliche Verteidigungsmaßnahmen zu umgehen.
Die Daten des Berichts stammen aus der globalen MDR-Infrastruktur von Obrela, die in der ersten Hälfte des Jahres 2025 16,8 Petabyte an Telemetriedaten von mehr als 522.000 überwachten Endpunkten verarbeitet hat. Das System generierte 876.842 Warnungen und identifizierte 11.351 bestätigte Cyberangriffe.
„Unser neuer Bericht zeigt, dass die Angreifer nicht nur schneller und raffinierter werden, sondern auch verstohlener“, sagt Dr. George Papamargaritis, VP MSS von Obrela. „Wir haben einen Anstieg von Brute-Force- und Schwachstellen-Scans beobachtet, während traditionelle Malware fast aus den Frühwarnungen verschwunden ist. Dies ist ein klares Zeichen für eine Entwicklung hin zu Ausweichmanövern, Automatisierung und Hartnäckigkeit. Um die Nase vorn zu haben, müssen Verteidiger Verhaltensanalysen, identitätsorientierte Kontrollen und schnellere, intelligenzgesteuerte Reaktionsmodelle einsetzen.“
Der Bericht enthält auch eine Aufschlüsselung der Aktivitäten der Angreifer nach Sektoren. Einzelhandel und E-Commerce sind mit 28 % aller Angriffe nach wie vor die am häufigsten angegriffenen Sektoren. Dies ist vor allem auf die Ausnutzung des Internets, den Missbrauch von Anmeldedaten und Betrug zurückzuführen. Auf Finanzdienstleistungen entfielen 19,23 % aller bestätigten Cyberangriffe in der ersten Hälfte des Jahres 2025, wobei Insider-Aktivitäten (26 %) und branchenspezifische Angriffsmuster (32 %) die häufigsten Vorfallsprofile darstellen.
Sektoren wie das Gesundheitswesen und die Schifffahrt waren weiterhin mit einem hohen Malware-Aufkommen konfrontiert, das 25 % bzw. 62 % der Vorfälle in diesem Sektor ausmachte, während Telekommunikations-, Luftfahrt- und Verteidigungsumgebungen häufiger Ziel von hochgradig maßgeschneiderten Bedrohungen auf Infrastrukturebene waren. Insbesondere die Telekommunikationsbranche meldete, dass 95 % der Bedrohungen branchenspezifisch waren, was die fortschrittliche, maßgeschneiderte Natur der Angriffe auf die Kerninfrastruktur unterstreicht.
Die Luftfahrt, das Baugewerbe und die verarbeitende Industrie melden weiterhin ein hohes Maß an verdächtigen internen Aktivitäten und branchenspezifischen Bedrohungen.
Regional gesehen waren Südosteuropa (35,31%) und Nordeuropa (31,22%) die am stärksten angegriffenen Regionen, was zeigt, dass man sich auf politisch sensible und digital ausgereifte Umgebungen konzentriert. Im Nahen Osten und in Asien gab es weiterhin erhebliche staatlich ausgerichtete Aktivitäten, insbesondere gegen Energie-, Telekommunikations- und Regierungsorganisationen. Afrika hatte einen relativ geringen Anteil an den Gesamtangriffen (2,1 %), war aber aufgrund seiner expandierenden Infrastruktur und schwächeren Zugangskontrollmaßnahmen mit einem unverhältnismäßig hohen Anteil an Insider-Bedrohungen und Aufklärungsaktivitäten konfrontiert.
Der Bericht verfolgte auch die Aktivitäten der wichtigsten nationalstaatlichen und Ransomware-Gruppen. Chinesische APTs wie UNC5174, Hafnium und Mustang Panda waren sehr aktiv bei der Ausnutzung von Zero-Day-Schwachstellen, während russische Gruppen wie APT29 und APT44 sich auf den heimlichen Zugang und die Kompromittierung der Lieferkette konzentrierten. Die Lazarus-Gruppe aus Nordkorea konzentrierte sich weiterhin auf den Diebstahl von Kryptowährungen, während indische und pakistanische Gruppen ihre Aktivitäten gegen Ziele im Energie- und Verteidigungsbereich ausweiteten.
Auch die Ransomware-Operationen haben sich weiterentwickelt. Qilin erwies sich im 2. Quartal 2025 als die aktivste Gruppe, dicht gefolgt von Akira. Neue Akteure wie EncryptHub und NightSpire demonstrierten hochgradig ausweichende Fähigkeiten und schnelle Einsatzmodelle, während etablierte Gruppen wie Cl0p und BlackCat eine starke Präsenz in allen Sektoren aufrechterhielten.
Hinweise für Redakteure
Die wichtigsten Ergebnisse (H1 2025) auf einen Blick:
Allgemeines:
- 16,8 PB an Telemetriedaten, die über 522.952 Endpunkte analysiert wurden
- 876.842 verarbeitete Warnmeldungen mit 11.351 bestätigten Cyber-Vorfällen
- Brute Force (27%), Scannen von Sicherheitslücken (22%) und IoC-Übereinstimmungen (20%) führten die Alarmkategorien an.
- 0 % direkte Malware-Nutzdaten in den Trendwarnungen – ein Zeichen für eine deutliche Verlagerung zu dateilosen Angriffen
- Durchschnittliche Reaktionszeit für kritische Vorfälle: 11,2 Minuten
- Die SLA-Verfügbarkeit blieb bei 99,996%.
Sektorspezifische Highlights:
- Einzelhandel & eCommerce: Meist betroffener Sektor (28% aller Angriffe)
- Finanzdienstleistungen: 32% branchenspezifische Bedrohungen; 26% durch Insider verursacht
- Versand: 62% aller Bedrohungen basierten auf Malware
- Telekommunikation: 95% der Vorfälle waren branchenspezifisch
Regionale Verteilung der Bedrohung:
- Südosteuropa: 35,31% der beobachteten globalen Angriffe
- Nordeuropa: 31,22%
- Naher Osten: 18,27%; Asien: 11,98%
- Afrika: 2,1% der Angriffe, mit hoher Konzentration von Insider-Bedrohungen
APT- und Ransomware-Aktivitäten:
- Chinesische APTs nutzten Zero-Days aus (Ivanti, SAP, VPNs)
- Russische APTs konzentrieren sich auf verdeckten Zugang und Angriffe auf die Lieferkette
- Lazarus Group zielt auf Kryptowährungsinfrastruktur
- Qilin und Akira führten die Ransomware-Aktivitäten an; EncryptHub und NightSpire gewannen an Bekanntheit