Check Point präsentiert auf der CPX 2025 in Wien aktuelle Cybersicherheits-Einblicke für EMEA. Zu den wichtigsten Erkenntnissen gehören:
- Unternehmen in EMEA waren in den letzten sechs Monaten im Durchschnitt 1.679 Cyberangriffen pro Woche ausgesetzt, knapp unter dem weltweiten Durchschnitt.
- Die Bildungs- und Forschungsbranche erlebte mit 4.247 Angriffen pro Woche die meisten Bedrohungen.
- Phishing bleibt mit 62% der bösartigen E-Mails der dominierende Angriffsvektor.
- FakeUpdates (SocGholish) bleibt die häufigste Malware.
- Infostealer-Malware-Angriffe stiegen um 58%, was den Diebstahl von Zugangsdaten verstärkt.
KI-gesteuerter Cyber Warfare, die Entwicklung von Ransomware und Cloud-Schwachstellen stellen laut Check Point die größten Bedrohungen für Unternehmen dar. Besonders hervorzuheben sind:
- Der Einsatz von KI für Desinformationskampagnen und Beeinflussungsoperationen, einschließlich der Nutzung von Deepfakes.
- Ransomware-Gruppen verlagern sich zunehmend von Dateiverschlüsselung hin zur Erpressung mit gestohlenen Daten.
- Infostealer und Initial Access Broker fördern eine Schattenwirtschaft, in der gestohlene Zugangsdaten verkauft werden.
- Fehlkonfigurationen und Schwachstellen in Cloud-Umgebungen erweitern die Angriffsfläche.
- Für Unternehmen sei es entscheidend, ihre Sicherheitsstrategien anzupassen, insbesondere im Hinblick auf KI und Cloud-Sicherheit.
„Der Aufstieg der KI-gesteuerten Desinformation verändert die Cybersicherheitslandschaft grundlegend. Von Deepfake-generierten politischen Angriffen bis hin zu gross angelegten Beeinflussungskampagnen erleben wir eine beispiellose Eskalation des KI-gesteuerten Cyber Warfare,” sagt Lotem Finkelsteen, Director, Threat Intelligence & Research Area.
DeepSeek AI von gross angelegter Cyberattacke betroffen
DeepSeek AI, eine in China ansässige Plattform für künstliche Intelligenz, wurde Opfer eines gross angelegten Cyberangriffs, der das Unternehmen dazu zwang, die Registrierung neuer Nutzer zu beschränken. Zwar ist die Identität der Angreifer noch nicht bekannt, doch gibt der Angriff Anlass zur Sorge über die Sicherheit von KI-Plattformen und die potenziellen Schwachstellen in KI-gestützten Ökosystemen.
„Mit der zunehmenden Integration von KI in den täglichen IT-Betrieb wird ihre Infrastruktur zu einem Hauptziel für Cyberkriminelle und staatliche Akteure. Unternehmen müssen der KI-Sicherheit Priorität einräumen, um gross angelegte Sicherheitsverletzungen zu verhindern, die weitreichende Folgen haben könnten“, sagt Eli Smadja, Security Research Group Manager bei Check Point Software.
Der Angriff auf DeepSeek unterstreicht den wachsenden Trend, KI-Infrastrukturen ins Visier zu nehmen, und verdeutlicht, dass KI-gesteuerte Dienste robuste Sicherheitsmassnahmen implementieren müssen, um sich vor den sich entwickelnden Cyber-Bedrohungen zu schützen.
Die Evolution von Ransomware: Die Verlagerung hin zur reinen Datenerpressung und zum Angriff auf kritische Sektoren
Ransomware ist nach wie vor eine der hartnäckigsten und schädlichsten Cyber-Bedrohungen, aber die Angreifer ändern ihre Taktik – weg von der traditionellen verschlüsselungsbasierten Erpressung hin zur reinen Datenleck-Erpressung.
Ransomware-Gruppen konzentrieren sich jetzt auf den Diebstahl sensibler Unternehmensdaten und drohen mit deren Weitergabe, anstatt Dateien zu verschlüsseln.
Das harte Vorgehen der Strafverfolgungsbehörden gegen grosse Ransomware-Gruppen wie LockBit und ALPHV hat zu einer fragmentierten Ransomware-Industrie geführt, in der neue Gruppen wie RansomHub das Machtvakuum ausnutzen.
„Die Verlagerung hin zur Erpressung durch Datenlecks stellt ein noch heimtückischeres Risiko dar – Organisationen sind nicht mehr nur mit IT-Betriebsunterbrechungen konfrontiert, sondern auch mit der öffentlichen Preisgabe sensibler Daten. Die Sicherheitsstrategien müssen sich weiterentwickeln und sich auf eine frühzeitige Erkennung, starke Datenverschlüsselung und robuste Zugangskontrollen konzentrieren, um diese Bedrohungen abzuschwächen,” wie Omer Dembinsky, Data Research Group Manager bei Check Point Software verlauten lässt.
Infostealer und Initial Access Broker: Die Schattenwirtschaft der Cyberkriminalität
Die explosionsartige Ausbreitung von Infostealer-Malware führt zu einem Anstieg von gestohlenen Zugangsdaten, Session-Hijacking und Unternehmensverletzungen.
Die Zahl der Infostealer-Angriffe stieg um 58 Prozent, wobei mehr als 10 Millionen gestohlene Anmeldedaten auf Untergrundmärkten für Cyberkriminalität zum Verkauf angeboten wurden.
AgentTesla, Lumma Stealer und FormBook gehörten zu den grössten Malware-Bedrohungen in der EMEA-Region und zielten häufig auf VPN-Anmeldedaten und Authentifizierungs-Token ab.
Session Hijacking ist heute eine der wichtigsten Techniken zur Umgehung der Multi-Faktor-Authentifizierung (MFA), die es Angreifern ermöglicht, sich dauerhaft Zugang zu Unternehmensumgebungen zu verschaffen.
„Cyberkriminelle brechen nicht mehr nur in Systeme ein, sondern verkaufen auch den Zugang zu diesen. Der Aufstieg von Infostealern und Initial Access Brokern hat eine Schattenwirtschaft geschaffen, auf dem gestohlene Zugangsdaten eine grössere Bandbreite von Cyberangriffen, einschliesslich Ransomware und Finanzbetrug, ermöglichen,“ so Sergey Shykevich, Group Manager of Threat Intelligence bei Check Point Software.
Cloud- und Edge-Schwachstellen erweitern die Angriffsfläche
Hybride Cloud-Umgebungen werden zum Rückgrat moderner Unternehmen, deshalb nutzen Angreifer Fehlkonfigurationen, schwache Zugriffskontrollen und Schwachstellen in Edge-Geräten aus, um sich einen ersten Zugang zu verschaffen.
Fehlkonfigurationen in der Cloud führten zu mehreren aufsehenerregenden Datenschutzverletzungen, bei denen Daten von Behörden, aus dem Gesundheitswesen und dem Finanzsektor preisgegeben wurden.
Bedrohungsakteure nutzten Schwachstellen bei der Einzelanmeldung (Single Sign On, SSO) aus, um sich in Cloud-Umgebungen bewegen zu können.
Von China unterstützte APTs nutzten kompromittierte IoT- und VPN-Geräte als Operational Relay Boxes (ORBs), um sich dauerhaft Zugang zu globalen Netzwerken zu verschaffen.
„Unternehmen müssen die Cloud-Sicherheit neu überdenken. Angreifer dringen nicht mehr nur in lokale Systeme ein, sondern dringen in Cloud-Umgebungen ein, zielen auf Anmeldeinformationen ab und nutzen legitime Mechanismen, um bidirektionale Seitwärtsbewegungen zu erleichtern. Ein proaktiver Sicherheitsansatz ist entscheidend,” sagt Michael Abramzon, Threat Intelligence & Research Architect bei Check Point Software.
