Cyberkriminelle nutzen zunehmend legitime Remote-Management-Software statt Malware für Angriffe. Huntress dokumentiert einen Anstieg von RMM-Missbrauch um 277 Prozent und einen parallelen Rückgang traditioneller Hacking-Tools um 53 Prozent.
Warum komplizierte Malware einschleusen, wenn man einfach legitime Enterprise-Software zweckentfremden kann? Diese Mentalität prägt die Strategie moderner Cyberkrimineller. Im vergangenen Jahr kam es zu einer massiven Verschiebung: Statt auf klassische Schadsoftware setzen Angreifer vermehrt auf den Missbrauch von Remote-Monitoring-and-Management-Tools (RMM). Das Huntress-Team dokumentiert in seinem Jahresbericht 2026 einen atemberaubenden Anstieg um 277 Prozent gegenüber dem Vorjahr.
Dieser Trend zieht sich durch alle Industriebranchen, wobei der Gesundheits- und Technologiesektor die stärksten Zuwächse verzeichnete. Das Kalkül der Angreifer ist nachvollziehbar: RMM-Lösungen sind in Unternehmen flächendeckend verbreitet, und bösartige Aktivitäten verschwimmen optisch mit legitimer Nutzung – ein erheblicher Vorteil gegenüber klassischer Malware, die deutlich leichter zu erkennen ist.
“RMM-Lösungen haben sich zur neuen Lieblingswaffe von Hackern entwickelt und bieten Unsichtbarkeit, Persistenz und operative Effizienz”, heißt es im Bericht. “RMM-Missbrauch ist über opportunistische Nutzung hinausgegangen und hat sich zu einer bewussten, standardisierten Eindringungsstrategie entwickelt.”
Besonders häufig missbraucht werden ScreenConnect von ConnectWise, AnyDesk, Atera, NetSupport, PDQ Connect und SplashTop. Der messbare Anstieg korreliert direkt mit dem Rückgang traditioneller Malware-Einsätze. Angreifer wechseln zu sogenannten Living-off-the-Land-Taktiken, bei denen sie legitime Software und Befehlszeilentools ausnutzen, um Erkennungssysteme zu umgehen.
“Während Cyberkriminelle komplette Angriffsszenarien um diese Tools herum entwickelten – zum Diebstahl von Zugangsdaten und Befehlsausführung – sank der Einsatz traditioneller Hacking-Tools um 53 Prozent, während Remote-Access-Trojaner und bösartige Skripte um 20 beziehungsweise 11,7 Prozent zurückgingen”, erklärt der Bericht. In Fällen mit RMM-Einsatz war traditionelle Malware “bemerkenswert selten”.
Auch die Nutzungsweise der RMM-Tools hat sich verschoben. Statt sie nur als Eintrittspunkt zum Malware-Deployment zu nutzen, fungieren sie nun als “zentrales Kontrollzentrum” für Command-and-Control-Operationen und als redundante Angriffsinfrastruktur.
Greg Linares, Principal Threat Intelligence Analyst bei Huntress, erklärt die Strategie: Angreifer setzen bewusst auf RMM-Tools, die bereits im Netzwerk installiert sind oder dort vorhanden sein dürften. Sie nutzen das vorhandene Vertrauen dieser Produkte aus und verschmelzen mit legitimen Nutzungsmustern.
“RMM-Missbrauch findet in massivem Ausmaß statt und funktioniert auf allen Unternehmensebenen – von Startups über Mittelständler bis zu Krankenhäusern und Großkonzernen”, sagt Linares. Der Missbrauch habe traditionelle Hacking-Tools “bei weitem übertroffen”.
Huntress analysierte auch die Post-Compromise-Aktivitäten nach RMM-Deployment und stellte fest, dass Angreifer bestimmte Produkte für spezifische Aufgaben bevorzugen. ScreenConnect wird beispielsweise vorrangig für Credential-Harvesting genutzt, NetSupport für schnelle Staging-Operationen und PDQ Connect für initiale Malware-Verteilung.
“RMM-Telemetrie liefert im Kontext der 24-stündigen Post-Infektions-Taktiken hochzuverlässige Signale, wohin eine Kompromittierung führen wird, nicht nur, wie sie aktuell verläuft”, heißt es im Report.
Das Kernproblem ist nicht primär die Erkennung – obwohl es schwierig ist, bösartige von legitimer RMM-Nutzung zu unterscheiden. Das größere Problem liegt darin, dass Organisationen diese Tools mit wenig bis keinen Restriktionen betreiben und kaum kontrollieren, worauf sie sich verbinden oder wer sie benutzt. “Diese Tools werden nicht ausreichend abgesichert”, konstatiert Linares.
Auch Drittanbieter-Sicherheitsfirmen sollten sich stärker mit RMM-Lösungen auseinandersetzen und Whitelist-Systeme etablieren, um unauthorized Tools zu blockieren. Die Detektion böswilliger Nutzung autorisierter RMM-Tools bleibt jedoch knifflig. Warnungen bei verdächtigen Identitätsaktivitäten können Frühwarnsignale liefern, doch solche Angriffe entwickeln sich extrem schnell. Weitere Indikatoren sind Login-Versuche von verschiedenen geografischen Standorten ohne Geofencing-Einschränkungen sowie die Nutzung von Wohnproxies.
Linares sieht die Verantwortung aber primär bei den RMM-Herstellern selbst: “Sie sollten zur Verantwortung gezogen werden, um Missbrauch ihrer eigenen Produkte zu erkennen. Es ist frustrierend als Security-Unternehmen, fortlaufend Missbrauch zu beobachten, obwohl wir alles tun, was wir können.”
Hersteller sollten ihre Produkte auf Missbrauchsmuster analysieren und Schutzmaßnahmen implementieren. Mindestens sollten sie umfassende Telemetrie-Daten bereitstellen, damit Erkennungssysteme und Security-Teams nachvollziehen können, wer die Tools nutzt und wie sie deployed werden.
“Wir sehen, dass Unternehmen diese Empfehlungen tatsächlich umsetzen und neue Sicherheitsmaßnahmen implementieren – das ist positiv”, sagt Linares. “Aber sie haben noch einen langen Weg vor sich.”
Quelle: Dark Reading