FortiGuard hat den Bedrohungsraum mithilfe von Telemetrie aus Millionen weltweit verteilten Sensoren analysiert, die seit 2002 im Einsatz sind. Die Industrialisierung der Cyberkriminalität setzte laut dem Bericht bereits in den 1990er-Jahren ein: Mit der Übernahme von Mitteln, Methoden und Motiven anderer Branchen wurde aus dem Verbrechen ein Geschäft – mit dem Ziel, mehr Ertrag bei geringerem Aufwand zu erzielen.

Eine Reihe KI-gestützter Werkzeuge steht Kriminellen inzwischen zur Verfügung, darunter WormGPT, FraudGPT, HexStrike AI, APEX AI und BruteForceAI. Sie wirken als Verstärker, die den nötigen Aufwand und das erforderliche Können senken und Angriffe in Maschinengeschwindigkeit ermöglichen. FraudGPT und WormGPT erstellen überzeugende Phishing-Angriffe, verfeinern Betrugsmaschen und erzeugen Schadcode ohne die Schranken regulärer KI-Systeme. HexStrike AI unterstützt automatisierte Aufklärung, die Erzeugung von Angriffspfaden und das Erstellen schädlicher Inhalte, während APEX AI Angriffe im Stil hochentwickelter Gruppen simuliert. BruteForceAI wiederum erkennt Eingabefelder von Anmeldeformularen und führt mehrsträngige Angriffe mit menschenähnlichem Verhalten aus.

Diese Werkzeuge schaffen keine neuen Angriffsflächen, verkürzen aber die Zeit, um bestehende auszunutzen. Das Auffinden verwundbarer Ziele läuft über globales Scannen mit handelsüblichen Werkzeugen: Qualys ortet anfällige Softwareversionen und Fehlkonfigurationen, Nmap dient dem Port-Scanning und der Diensterkennung, Nessus und OpenVAS reichern die Schwachstellendaten an.

Vielfach sind Zugänge bereits auf Untergrundmärkten verfügbar. Laut FortiGuard werden Datenbanken, Zugangsdaten, geprüfte Zugangswege und Angreifer-Tools laufend angeboten und gehandelt und bilden so eine vorgelagerte Lieferkette für spätere Einbrüche. Die Daten stammen vor allem von Infostealern wie RedLine – dem verbreitetsten –, Lumma und Vidar. Sogenannte Access Broker verkaufen anschließend geprüfte Zugänge in Unternehmen, am häufigsten Firmen-VPNs und RDP-Zugänge.

FortiGuard verzeichnete 656 Schwachstellen, die 2025 aktiv im Darknet diskutiert wurden. Für 344 davon (52,44 Prozent) war öffentlich verfügbarer PoC-Exploit-Code vorhanden, für 176 (26,83 Prozent) funktionierender Exploit-Code und für 149 (22,71 Prozent) beides. CVEs würden „industriell“, so der Bericht, sobald sie ausreichend mit Skripten, Modulen, Anleitungen, Beweiscode und Handlungsleitfäden gebündelt seien, sodass die Ausnutzung als wiederholbarer Ablauf statt als maßgeschneiderter Einbruch laufen könne.

Laut Douglas Santos, Director of Advanced Threat Intelligence bei FortiGuard, ist absehbar, dass mit der Beschleunigung durch KI „Stunden oder sogar Minuten statt Tage“ zur Regel werden – erste Anzeichen dafür seien bereits zu sehen.

Ransomware bleibt die am leichtesten zu monetarisierende Angriffsform. Der Bericht nennt weltweit 7.831 bestätigte Opfer im Jahr 2025. Die drei aktivsten Gruppen waren Qilin, Akira und Safepay, am stärksten betroffen waren die USA mit 3.381 Opfern, gefolgt von Kanada und Europa.

Zur Verteidigung empfiehlt FortiGuard, identitätszentrierte Erkennung, die Reduzierung von Angriffsflächen sowie Automatisierung in den Vordergrund zu stellen, um mit dem Tempo der Angreifer mitzuhalten. Das Unternehmen verweist zudem auf eigene Beteiligungen an internationalen Initiativen gegen Cyberkriminalität, darunter INTERPOL Serengeti 2.0, die Operation Red Card 2.0, die Cybercrime-Atlas-Initiative mit dem Weltwirtschaftsforum, die Zusammenarbeit in der Cyber Threat Alliance sowie ein neues Cybercrime-Bounty-Programm mit Crime Stoppers International.