Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung

Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 02.03.2025] Darktrace hat am 19. Februar 2025 den jährlichen „Threat Report“ veröffentlicht: Die Analyse des letzten Jahres – 2024 – zeigt demnach, dass sogenannte Malware-as-a-Service (MaaS) inzwischen für mehr als die Hälfte (57 %) aller Cyber-Angriffe auf Unternehmen verantwortlich ist und damit den anhaltenden Anstieg von Cybercrime-as-a-Service (CaaS) belegt. Die Daten stammten aus den Beobachtungen des „Darktrace Threat Research“-Teams, welches mit Hilfe selbstlernender KI von Darktrace die IT-Sicherheit von fast 10.000 Kunden weltweit überwache. Der vorliegende Bericht verdeutliche eine „zunehmend komplexe Bedrohungslage mit immer raffinierteren Angriffsmethoden“.

Abbildung: Darktrace

Darktrace hat am 19. Februar 2025 den jährlichen „Threat Report“ veröffentlicht: Malware-as-a-Service sticht heraus

Cybercrime-as-a-Service immer nutzerfreundlicher und damit gefährlicher: Ausbringung von Malware bzw. Ransomware

Die Verbreitung von CaaS-Modellen, insbesondere Ransomware-as-a-Service (RaaS) und MaaS, nehme weiter zu, da auch weniger erfahrene Cyber-Kriminelle mit neuen Werkzeugen hochgradig zerstörerische Angriffe durchführen könnten. Laut dem Bericht sei die Nutzung von MaaS-Tools in der zweiten Jahreshälfte 2024 um 17 Prozent gestiegen – „von 40 Prozent in den ersten sechs Monaten auf 57 Prozent der von Darktrace erkannten Angriffsaktivitäten“.

Besonders auffällig sei auch die Zunahme der Nutzung von „Remote Access Trojans“ (RATs), welche es Angreifern ermöglichten, ein infiziertes Gerät aus der Ferne zu kontrollieren. Während RATs im ersten Halbjahr nur zwölf Prozent der Kampagnen ausgemacht hätten, sei dieser Anteil in der zweiten Jahreshälfte auf 46 Prozent gestiegen. Diese Art der Cyber-Angriffe erlaube es Angreifern, Daten zu stehlen, Anmeldedaten zu entwenden und Nutzer auszuspionieren, was die wachsende Komplexität alltäglicher Cyber-Gefahren zeige.

„Darktrace Threat Research Team“ beobachtet Malware-/Ransomware-Bedrohungen der Kunden

Das „Darktrace Threat Research Team“ habe eine Reihe von Ransomware-Bedrohungen ihrer Kunden beobachtet – „darunter neue Varianten wie ,Lynx’ sowie wiederaufkommende Bedrohungen wie ,Akira’, ,RansomHub’, ,Black Basta’, ,Fog’ und ,Qilin’“. Während Phishing weiterhin ein Hauptangriffsvektor bleibe, griffen Cyber-Kriminelle zunehmend zu durchdachteren Methoden:

„Sie nutzen legitime Werkzeuge wie ,AnyDesk’ und ,Atera’ zur Verschleierung von Command-and-Control-Kommunikation, LOTL-Techniken für laterale Bewegungen, exfiltrieren Daten über gängige ,Cloud’-Speicher und setzen Dateitransfer-Tools für schnelle Angriffe und doppelte Erpressungsmethoden ein.“

Malware-Angreifer: Tarnung durch Ausnutzung von Edge-Geräten und LOTL-Techniken

Moderne Angreifer setzten verstärkt auf unauffällige Infiltration, statt direkt Chaos zu verursachen. Besonders häufig würden Schwachstellen in Edge- und Perimeter-Geräten ausgenutzt, um sich Zugang zu Netzwerken zu verschaffen. Anschließend kämen LOTL-Techniken zum Einsatz. Dabei missbrauchten sie legitime, bereits vorhandene Systemwerkzeuge, um unentdeckt zu bleiben.

„2024 entfielen 40 Prozent aller beobachteten Kampagnen in der ersten Jahreshälfte auf Angriffe, die auf internet-freigegebene Geräte abzielten.“ Besonders betroffen gewesen seien „Ivanti Connect Secure“ (CS) und „Ivanti Policy Secure“ (PS), „Palo Alto Networks (PAN-OS) Firewalls Fortinet Appliances“.

Herkömmliche Sicherheitssysteme haben es schwer, Malware- und Phishing-Angriffe zu identifizieren

Als Beispiel: „Darktrace entdeckte verdächtige Aktivitäten auf Palo-Alto-Firewalls bereits am 26. März – ganze 17 Tage bevor die öffentliche Sicherheitswarnung am 12. April herausgegeben wurde.“ Zusätzlich hätten die Darktrace-Experten einen verstärkten Missbrauch gestohlener Anmeldedaten beobachtet, um sich über VPNs in Netzwerke einzuloggen. Einmal eingedrungen, nutzten Angreifer vorhandene administrative Werkzeuge, um unbemerkt ihre Ziele zu erreichen. Herkömmliche Sicherheitssysteme hätten es schwer, solche Angriffe zu identifizieren, da sie zwischen legitimem und bösartigem Verhalten nicht unterscheiden könnten.

„Die Kombination aus Cybercrime-as-a-Service, Automatisierung und KI führt dazu, dass Angriffstechniken rasanter weiterentwickelt werden als je zuvor – von KI-gestützten Phishing-Kampagnen bis hin zu neuen Ransomware-Varianten“, kommentiert Nathaniel Jones. Er rät abschließend: „Unternehmen müssen ihre Cyber-Resilienz stärken, indem sie Schwachstellen proaktiv eliminieren – bevor Angreifer sie ausnutzen!“

Weitere Informationen zum Thema:

DARKTRACE, 19.02.2025
White Paper: Annual Threat Report 2024

datensicherheit.de, 22.01.2025
Gamer geraten ins Phishing-Fadenkreuz / Phishing-Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden

datensicherheit.de, 23.02.2022
Xloader: Evolution einer Malware zum Malware-as-a-Service / Hacker können mit Malware-as-a-Service Erpressungs-Software abonnieren