Der neue „Elastic Global Threat Report 2025“ zeigt, wie Angreifer künstliche Intelligenz nutzen, um Schadsoftware zu erzeugen, Browser-Zugangsdaten zu stehlen und Cloud-Umgebungen anzugreifen. Die Daten basieren auf über einer Milliarde Telemetriepunkten aus realen Produktionsumgebungen.
Foto: Elastic
Devon Kerr, Head of Elastic Security Labs and Director of Threat Research
Künstliche Intelligenz ist nicht nur ein Werkzeug für Produktivität und Automatisierung, sondern zunehmend auch ein Instrument für Cyberkriminelle. Der aktuelle „Elastic Global Threat Report 2025“ beschreibt eine deutliche Verschiebung in der Angriffsdynamik: KI wird eingesetzt, um Schadcode schneller zu entwickeln, Daten effizienter zu stehlen und Schwachstellen systematischer auszunutzen.
„Angreifer verlagern ihren Fokus von Tarnung auf Geschwindigkeit und starten mit minimalem Aufwand ganze Wellen opportunistischer Angriffe“, erklärt Devon Kerr, Head of Elastic Security Labs and Director of Threat Research. „Diese Entwicklung zeigt, wie dringend Verteidiger ihre Maßnahmen zum Schutz von Identitäten verstärken und ihre Erkennungsstrategien an diese neue Ära der Hochgeschwindigkeitsangriffe anpassen müssen.“
Laut Bericht zielte bei jeder achten untersuchten Malware-Probe der Angriff auf Browser-Daten. Damit ist der Diebstahl von Zugangsdaten die am häufigsten genutzte Sub-Technik, um unbefugten Zugriff auf Systeme zu erlangen. Infostealer umgehen zunehmend die integrierten Schutzmechanismen von auf Chromium basierenden Browsern.
Ein signifikanter Anteil der beobachteten Malware-Aktivitäten entfiel auf bekannte Varianten wie GhostPulse, das für 12 Prozent der signaturbasierten Erkennungen verantwortlich war, häufig in Verbindung mit Infostealern wie Lumma (6,67 Prozent) und Redline (6,67 Prozent).
Auf Windows-Systemen verzeichneten die Forschenden eine klare Verschiebung bei den Angriffstaktiken: Taktiken zur Ausführung von Schadcode („Execution“) haben sich nahezu verdoppelt und machen nun 32 Prozent der beobachteten Aktivitäten aus. Damit überholt dieser Ansatz erstmals seit drei Jahren die Umgehung von Sicherheitsmechanismen („Defense Evasion“).
Parallel dazu stieg die Zahl generischer, oft mithilfe von KI entwickelter Bedrohungen um 15,5 Prozent. Angreifer setzen Large Language Models (LLMs) ein, um innerhalb kurzer Zeit funktionierende Schadsoftware zu erzeugen. Unter den am häufigsten identifizierten Malware-Familien blieben RemCos (9,33 Prozent) und CobaltStrike (rund 2 Prozent) verbreitet.
Über 60 Prozent aller analysierten Cloud-Sicherheitsvorfälle beinhalteten laut Bericht den Erstzugriff (Initial Access), dauerhaften Zugriff (Persistence) oder Zugangsdatendiebstahl (Credential Access). Besonders betroffen waren Microsoft-Entra-ID-Umgebungen: 54 Prozent der erkannten Anomalien in Azure-Systemen stammten aus Audit-Logs – dieser Anteil steigt auf nahezu 90 Prozent, wenn sämtliche Entra-Telemetriedaten einbezogen werden.
Elastic empfiehlt, Automatisierung und KI-gestützte Erkennung gezielt einzusetzen, jedoch stets unter menschlicher Aufsicht. Zudem sollten Unternehmen den Schutz von Browser-Integrationen und Zugangsdaten priorisieren sowie Identitätsprüfungen als Kernbestandteil ihrer Sicherheitsarchitektur behandeln.
Mehr Details finden Sie im Blog bei Elastic
