Barracuda full logo

Die interessantesten Cyberkriminalitäts-Takedowns des Jahres 2025

Themen:
3. Dez.. 2025
|

Wie vertrauenswürdige Insider zu einer der größten Cybersecurity-Bedrohungen des Jahres wurden

Die wichtigsten Erkenntnisse

  • Die bemerkenswertesten Cyberkriminalitätsbekämpfungen im Jahr 2025 zeigen einen Wandel von externen Bedrohungen hin zu kriminellen Insidern, die ein Problem für die Cybersecurity darstellen.
  • Vertrauenswürdige Mitarbeiter mit privilegiertem Zugang, darunter mehrere prominente Beispiele im Jahr 2025, haben ihre Position ausgenutzt, um sensible Informationen an Cyberkriminelle zu verkaufen.
  • Die Strafverfolgungsbehörden haben erfolgreich eine Reihe prominenter Cyberkrimineller festgenommen, aber Insider-Bedrohungen sind nach wie vor besonders schwer zu erkennen und zu verhindern.
  • Unternehmen müssen erkennen, dass kein Mitarbeiter über jeden Verdacht erhaben ist und sollten die internen Security-Protokolle verstärken, um Insider-Risiken zu minimieren.

Jedes Jahr scheint den nächsten „größten Datendiebstahl der Geschichte“ mit sich zu bringen. Doch erfreulicherweise werden immer mehr der weltweit produktivsten Angreifer gefasst und verhaftet. Im Jahr 2024 kam es zu einem rekordverdächtigen Datenleck, bei dem über 2,9 Milliarden sensible Dateien weltweit kompromittiert wurden. Gleichzeitig wurde jedoch der Verantwortliche, ein Angreifer mit dem Alias USDoD, schnell festgenommen. Ein neuer Trend zeigt jedoch, dass Datenlecks durch externe Bedrohungen möglicherweise das geringste Problem sind.

Das Problem ist folgendes: Die interessantesten Cyberangriffe des Jahres 2025 deuten auf einen weitaus beunruhigenderen Trend hin. Die prominentesten Personen, die in diesem Jahr von den Strafverfolgungsbehörden ins Visier genommen wurden, sind keine kriminellen Außenstehenden oder nationalstaatlichen Akteure. Stattdessen sind sie Insider – vertrauenswürdige Experten, die sich entschieden haben, auf Ethik zu verzichten und ihre Expertise zu nutzen, um durch Gesetzebruch Geld zu verdienen.

Der Insider: Mitarbeiter der Chefetage eines Verteidigungsunternehmens verkaufte Cybergeheimnisse

Das Verteidigungsunternehmen L3Harris erzielt einen Umsatz von 21 Milliarden Dollar und beschäftigt weltweit fast 50.000 Mitarbeiter. Sie verkaufen alles von autonomen Unterwasserdrohnen bis hin zu Satellitenteilen. Ihre Cybersicherheitsabteilung Trenchant ist auf die Entwicklung von Penetrationstools für die US-Regierung und verbündete Regierungen spezialisiert. Sie mussten jetzt eine schmerzhafte Lektion lernen: Selbst die vertrauenswürdigsten Mitarbeiter können eine Bedrohung von innen heraus sein.

Peter Williams, zuvor General Manager bei Trenchant, bekannte sich kürzlich schuldig, sensibles Material an staatliche Akteure, darunter die russische Regierung, verkauft zu haben. Dieses Material bestand aus acht bisher unbekannten Zero-Day-Exploits, die es ihren Besitzern ermöglichen würden, Systeme wie Smartphones und Webbrowser zu kompromittieren und auszuspionieren.

Laut Techcrunch konnte Williams seine „Supernutzer“-Berechtigung nutzen, um auf dieses Material zuzugreifen – das sich normalerweise auf sicheren, vom Internet getrennten Systemen befand – und es dann auf eine persönliche Festplatte zu übertragen. Nachdem das Unternehmern darauf aufmerksam geworden war, dass ihr Code durchgesickert war, wurde Williams mit der Untersuchung beauftragt und nutzte diese Befugnis, um einen anderen Mitarbeiter zu belasten.

Diese Episode zeigt, dass es in der Cybersecurity keinen Mitarbeiter gibt, der über jeden Verdacht erhaben ist.

Der Ransomware-Unterhändler wird zum Bedrohungsakteur.

Der Aufstieg von Ransomware hat zu einer einzigartigen neuen Position im Bereich der Cybersecurity geführt. Ransomware-Unterhändler sprechen direkt mit Ransomware-Angreifern nach einer erfolgreichen Verschlüsselung. Ihre Aufgabe ist es, die Gesamthöhe des Lösegelds zu reduzieren und gegebenenfalls technische Unterstützung zu erhalten, um eine reibungslose Entschlüsselung und Wiederherstellung der Dateien zu gewährleisten.

Bedrohungsgruppen haben ein starkes Interesse daran, eng mit den Verhandlungsführern zusammenzuarbeiten. Wenn sie sich den Ruf erarbeiten, unkomplizierte Geschäftspartner zu sein, ist es wahrscheinlicher, dass ihre Zielpersonen ein Lösegeld zahlen. Aber was passiert, wenn ein Ransomware-Unterhändler beschließt, für die gegnerische Seite zu arbeiten?

Eine kürzlich veröffentlichte Anklageschrift der Grand Jury zeigt, dass ein Incident Response Manager und ein Ransomware-Unterhändler beschuldigt wurden, einen Malware-Stamm namens ALPHV/BlackCat verwendet zu haben, um Opfer ins Visier zu nehmen und zu erpressen. In einem Fall erpressten die Komplizen erfolgreich eine Zahlung von 1,3 Millionen Dollar von einem Hersteller medizinischer Geräte.

Obwohl es keine Beweise dafür gibt, dass der Verhandlungsführer Ressourcen seines Unternehmens verwendet hat, um Angriffe durchzuführen, ist die Implikation beunruhigend. Der Incident-Response-Manager wurde in diesem Fall dazu inspiriert, Ransomware-Angriffe zu begehen, um seine Schulden zu begleichen. Welche Maßnahmen werden ergriffen, um zu verhindern, dass Cybersecurity-Fachleute durch viel Geld auf die dunkle Seite gelockt werden?

Betrugsring im Wert von 300 Millionen Euro durch internationale Zusammenarbeit zerschlagen

Erfreulicher ist jedoch die Nachricht, dass eine gemeinsame internationale Operation kürzlich einen multinationalen Kreditkartenbetrugsring zerschlagen hat, der zwischen 2016 und 2021 aktiv war. Die Gruppe agierte, indem sie gefälschte Kreditkartenabonnements einrichtete, die jeweils unter 50 € pro Monat lagen, und zielte schließlich auf 19 Millionen Kunden in fast allen Ländern der Erde ab.

Die weniger erfreuliche Nachricht ist, dass mindestens fünf der 18 verhafteten Verdächtigen Angestellte und Führungskräfte bei großen Zahlungsdienstleistern waren. Diese Personen nutzten ihr Wissen über die Systeme, zu denen sie Zugang hatten, um betrügerische Transaktionen zu verbergen, Geld zu waschen und ihre Gewinne über eine Reihe von Briefkastenfirmen zu verteilen.

Interessant ist die Nutzung sogenannter „Crime-as-a-Service“-Unternehmen im Rahmen der illegalen Operationen. Obwohl viele dieser Organisationen darauf ausgelegt sind, Ransomware- oder Denial-of-Service-Angriffe durchzuführen, haben die in diesem Schema verwendeten Organisationen schwer nachverfolgbare Finanznetzwerke im Rahmen einer schlüsselfertigen Operation geschaffen. Durch die Einrichtung von Netzwerken aus Briefkastenfirmen wurde es für einzelne Verbraucher nahezu unmöglich herauszufinden, wohin genau ihr Geld floss.

War 2025 das Jahr der Insider-Bedrohung?

Möglicherweise ist Ihnen ein roter Faden in den letzten drei Beispielen aufgefallen. Bei den prominentesten Cyberangriffen dieses Jahres arbeiteten erfahrene IT-Sicherheitsexperten und Experten der Zahlungsbranche mit Kriminellen zusammen, um Millionen zu verdienen. 

  • Veteranen der Geheimdienstbranche verschworen sich mit russischen Exploitation-Brokern
  • Ransomware-Verhandler verschwören sich mit Ransomware-as-a-Service-Betreibern 
  • Führungskräfte der Zahlungsbranche machten Gebrauch von professionellen Geldwäschern

Warum wechseln so viele Security-Experten plötzlich die Seiten? Die Antwort geht über den Rahmen dieses Artikels hinaus (aber ich habe eine Idee). Gleichzeitig zeigt es, dass selbst der vertrauenswürdigste Insider nicht über jeden Verdacht erhaben ist. Unternehmen müssen heute mehr denn je Zugriffskontroll- und Überwachungslösungen implementieren, die verdächtige Aktivitäten erkennen und so eine Bedrohung durch Insider darstellen können.

Mit Barracuda können Sie Ihr Netzwerk auf Verhaltensweisen überwachen, die darauf hindeuten, dass ein Insider zum Abtrünnigen wird. Ob ihr Konto kompromittiert wurde oder sie durch eine Bestechung geködert wurden, Barracuda Managed XDR kann helfen, unerwartete Dateiübertragungen und -löschungen zu kennzeichnen, die auf den Diebstahl kritischer IP oder einen Versuch hinweisen können, eine betrügerische Transaktion zu verdecken. Vereinbaren Sie ein Gespräch mit unseren Experten und erfahren Sie, wie Sie den nächsten Insider-Leak vermeiden können.

Stoppen Sie Bedrohungen mit rund um die Uhr verwalteter Cybersecurity
Verwandte Beiträge:
Der ITRC Consumer Impact Report 2025: Eine neue Ära der Identitätskriminalität
Der ITRC Consumer Impact Report 2025: Eine neue Ära der Identitätskriminalität
 Der Ransomware-Angriff in Nevada bietet Lehren zur bundesstaatlichen Cyber-Resilienz.
Der Ransomware-Angriff in Nevada bietet Lehren zur bundesstaatlichen Cyber-Resilienz.
 Malware-Kurzinfo: Android im Visier – FvncBot, SeedSnatcher, ClayRat
Malware-Kurzinfo: Android im Visier – FvncBot, SeedSnatcher, ClayRat
 Der lange Arm des Gesetzes beginnt endlich, Smishing zu unterbinden.
Der lange Arm des Gesetzes beginnt endlich, Smishing zu unterbinden.
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.