Hacker umgehen MFA

Die Hackerszene scheint sich langsam aber sicher nach Alternativen zu Ransomware umzuschauen. Das zeigt der aktuelle Threat Intelligence Report von Ontinue. Cyberkriminelle setzen etwa zunehmend auf identitätsbasierte Attacken, versuchen also vermehrt Benutzerkonten oder digitale Identitäten zu übernehmen. Ziel solcher Angriffe ist es, durch gestohlene Passwörter und Tokens auf Cloud-Ressourcen sowie sensible Informationen zuzugreifen. Aktuell versuchen Hacker durch elaborierte Phishing-Attacken auch an Authentifizierungs- oder Refresh-Tokens zu gelangen. Rund 20 % der aktuellen Vorfälle beinhalteten die Wiederverwendung gestohlener Tokens. Auf diese Weise ist es möglich, Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung (MFA) effektiv zu umgehen, selbst nach einem Passwort-Reset. Die Gefahr lauert in diesem Zusammenhang nach wie vor häufig in E-Mail-Anhängen. Da Unternehmen allerdings ihre Mitarbeitenden mittlerweile vor gefährlichen und kompromittierten Office-Dateien warnen, haben Cyberkriminelle ihre Taktik geändert. Laut dem Ontinue-Report lagen mehr als 70 % der gefährlichen Anhänge, die Secure Email Gateways umgingen, in Formaten wie SVG oder IMG vor und nicht mehr in klassischen Office-Dokumenten. Aber auch „klassische“ Methoden sind längst nicht ad acta gelegt: So erlebt über USB-Ports eingeschleuste Schadsoftware, die auf manipulierten Wechseldatenträgern lauert, eine regelrechte Renaissance. Das ATO (Advanced Threat Operations)-Team von Ontinue stellte einen Anstieg um 27 % gegenüber dem Vorjahr fest, sodass das Risiko durch externe Devices hoch bleibt.

Handlungsempfehlungen. Der Threat Intelligence Report enthält jedoch nicht nur Informationen zu aktuellen Bedrohungen, sondern auch konkrete Handlungsempfehlungen. Unternehmen sollten etwa Phishing-resistente MFA-Mechanismen wie FIDO2 oder Passkeys implementieren. Zudem betont das ATO-Team die Notwendigkeit, reale Bedrohungsinformationen in Sicherheitstests einzubinden, damit Abwehrmechanismen den aktuellen Taktiken der Angreifer standhalten: Simulierte Tests oder isolierte Schutzmaßnahmen reichen in der Regel nicht aus. Darüber hinaus bleiben Sicherheitsgrundsätze wie die Einschränkung der USB-Nutzung, gehärtete Konfigurationen und regelmäßige Mitarbeiterschulungen unverzichtbar. „Cyberkriminelle agieren heute schneller und flexibler als Unternehmen. Sie wechseln Taktiken, Ziele und Werkzeuge innerhalb von Wochen, nicht Monaten“, warnt Craig Jones, Chief Security Officer bei Ontinue. „Im ersten Halbjahr 2025 haben wir gesehen, wie Ransomware-Gruppen trotz zahlreicher Zerschlagungen weitermachen, PhaaS-Dienste global skalieren und staatlich unterstützte Akteure den Privatsektor mit wachsender Präzision ins Visier nehmen. Sicherheit darf nicht als einmaliges Projekt verstanden werden, sondern muss zum kontinuierlichen, erkenntnisgetriebenen Prozess reifen.“

„Cyberkriminelle agieren heute schneller und flexibler als Unternehmen.“ Craig Jones, Chief Security Officer, Ontinue