Den größten Anteil unter den eindeutig identifizierbaren Erstzugängen machte laut Bericht der Missbrauch von SSL-VPN aus: 32,8 Prozent aller identifizierbaren Vorfälle entfielen darauf. In vielen Fällen authentifizierten sich die Täter mit gültigen, aber kompromittierten Anmeldedaten. Die so entstandenen VPN-Sitzungen wirkten für Sicherheitskontrollen legitim und verschafften den Angreifern weitreichenden internen Zugriff, mit dem sie sich rasch zu wertvollen Systemen vorarbeiten konnten, ohne sofort Alarme auszulösen.
Ebenso häufig dokumentiert der Report den Missbrauch legitimer Remote-Monitoring-and-Management-Werkzeuge (RMM) als Methode für Zugang und Persistenz. RMM-Missbrauch trat in 30,3 Prozent der identifizierbaren Vorfälle auf, wobei ScreenConnect in mehr als 70 Prozent der Fälle mit nicht autorisierten RMM-Instanzen vertreten war. Da solche Werkzeuge in der IT-Administration üblich sind, ähnelten unautorisierte Installationen oft erwartbarer Aktivität und ließen sich ohne ausreichende Sichtbarkeit kaum unterscheiden. Besonders in Umgebungen mit mehreren parallel genutzten Fernzugriffswerkzeugen gingen unerwünschte Instanzen häufiger im bestehenden Werkzeugbestand unter.
Den größten Treiber des gesamten Vorfallaufkommens stellte jedoch die Interaktion der Nutzer selbst dar. Kampagnen mit gefälschten CAPTCHAs und im Stil von ClickFix machten 57,5 Prozent aller identifizierbaren Vorfälle aus und waren damit das am häufigsten dokumentierte Angriffsmuster. Statt Software-Schwachstellen auszunutzen, setzten diese Kampagnen auf täuschende Aufforderungen: Nutzer wurden angewiesen, Befehle in den Ausführen-Dialog von Windows einzufügen — vermeintlich als routinemäßiger Verifizierungsschritt. Die Ausführung erfolgte über bordeigene Windows-Werkzeuge, ohne klassische Malware-Downloads oder Exploit-Aktivität.
Auch Mehr-Faktor-Authentifizierung bot keinen vollständigen Schutz. In vielen der untersuchten Cloud-Umgebungen war MFA aktiviert, dennoch kam es zu Kontoübernahmen. Adversary-in-the-Middle-Phishing war für rund 16 Prozent der im Bericht dokumentierten Deaktivierungen von Cloud-Konten verantwortlich. Dabei funktionierte MFA wie vorgesehen: Die Angreifer umgingen die Authentifizierung nicht, sondern fingen die nach erfolgreicher MFA ausgestellten Sitzungstoken ab und verwendeten sie erneut, um auf Cloud-Dienste zuzugreifen. Aus Sicht der Plattform entsprach dies einer regulär authentifizierten Sitzung.
In einer aktuellen Untersuchung identifizierte das Security Operations Center von Blackpoint Cyber ein neues Implantat namens Roadk1ll. Es ist darauf ausgelegt, sich über WebSocket-basierte Kommunikation zwischen Systemen zu bewegen und den Zugang aufrechtzuerhalten, während es sich im Netzwerkverkehr unauffällig einfügt.
Über Branchen, Umgebungen und Angriffsarten hinweg zeichnet der Report ein einheitliches Bild: Viele erfolgreiche Angriffe beruhten auf Aktivitäten, die sich in den normalen Betrieb einfügten — Fernanmeldungen, vertraute Werkzeuge und übliche Nutzeraktionen statt neuartiger Exploits oder fortgeschrittener Malware. Dokumentiert wurden diese Muster in häufig betroffenen Sektoren wie Fertigung, Gesundheitswesen, Managed Service Providern, Finanzdienstleistungen und der Baubranche.
