Die Beschleunigung des Datendiebstahls, vor allem im vierten Quartal, führt Recorded Future auf mehrere Entwicklungen zurück. Alexander Leslie, Senior Advisor des Unternehmens, nennt die Industrialisierung von Infostealer-Schadsoftware, Malware-as-a-Service-Ökosysteme sowie KI-gestütztes Phishing und Social Engineering. Diese Trends senkten die Einstiegshürde für Cyberkriminelle und steigerten zugleich Menge und Qualität der erbeuteten Zugangsdaten und Sitzungsartefakte wie Cookies, mit denen sich eine Multi-Faktor-Authentifizierung (MFA) umgehen lässt.
Leslie erwartet, dass sich der Trend fortsetzt – getrieben durch die Ausbreitung von SaaS-Diensten, browserbasierte Synchronisierung von Zugangsdaten und KI-gestützte Zielauswahl. All diese Faktoren vergrößerten die identitätsbezogene Angriffsfläche schneller, als sich die Abwehr weiterentwickle.
Für rund sieben Millionen gestohlene Zugangsdaten konnte Recorded Future anhand der zugehörigen URL eindeutig bestimmen, welches System sich damit erreichen ließe. Knapp zwei Drittel davon entfielen auf Authentifizierungssysteme wie Okta-Logins, Azure-Active-Directory-Portale oder Firmen-VPNs. Angreifer suchten zunehmend gezielt nach Zugängen, die den breitesten Zugriff auf eine Umgebung eröffnen – teils zu Systemen, mit denen sie Sicherheitsteams vollständig blind machen könnten. Weitere besonders wertvolle Zugangsdaten betrafen Werkzeuge zur Fernüberwachung und -verwaltung – ein bevorzugtes Ziel bei Angriffen auf Managed Service Provider (MSPs) und deren Kunden –, Cloud-Plattformen und E-Mail-Infrastruktur.
Besonders heikel ist ein weiterer Befund: Etwa 276 Millionen der analysierten Zugangsdaten – 31 Prozent aller aus Schadsoftware stammenden Datensätze – enthielten aktive Sitzungs-Cookies. Solche Cookies belegen, dass ein Nutzer bereits authentifiziert ist; Angreifer können damit laufende Sitzungen kapern und Konten ohne Passwort übernehmen. Vor allem aber lässt sich so eine MFA komplett umgehen.
Recorded Futures Ergebnisse decken sich mit Beobachtungen anderer. Googles Threat Intelligence Group identifizierte gestohlene Zugangsdaten in 21 Prozent jener Ransomware-Vorfälle des vergangenen Jahres, bei denen sich der initiale Zugang nachvollziehen ließ; vielfach dienten die Daten zur Anmeldung an VPN oder Remote-Desktop-Protokoll des Opfers. Verizon wiederum stellte gestohlene und kompromittierte Zugangsdaten in 22 Prozent der untersuchten Vorfälle fest – einer der häufigsten initialen Angriffswege.
Als Gegenmaßnahmen empfiehlt Leslie geräte- und verhaltensbasierte Richtlinien für bedingten Zugriff, um Techniken wie Session-Hijacking, Adversary-in-the-Middle-Phishing und den Missbrauch gültiger Konten zu adressieren. Organisationen sollten phishing-resistente MFA wie FIDO2 einsetzen und exponierte Zugangsdaten kontinuierlich überwachen und rasch bereinigen. Hochriskante Zugangsdaten zu IAM-, Sicherheits- und SIEM-Systemen müssten als Tier-0-Assets behandelt werden – mit strikter Trennung, Vaulting, Rotation und Echtzeit-Erkennung von Offenlegungen. Genau diese Ebene greifen Angreifer laut Leslie an, um Abwehrmaßnahmen auszuschalten, Rechte auszuweiten und über legitime Zugangswege dauerhaft und unauffällig die Kontrolle zu übernehmen.
