IBM X-Force 2025 Threat Intelligence Index

Seit 1993 sammelt, analysiert und teilt IBM Informationen und Fachwissen über Cyber-Angreifer, um Unternehmen dabei zu helfen, sich in der sich ständig verändernden Bedrohungslandschaft zurechtzufinden. Der IBM X-Force 2025 Threat Intelligence Index konzentriert sich auf die Beobachtungen unseres Expertenteams aus Analysten, Forschern und Hackern, die verfolgen, wie Bedrohungsakteure in Unternehmen eindringen, was sie dort tun und welche Auswirkungen die einzelnen Verstöße haben.

In den letzten 18 bis 24 Monaten haben sich die Taktiken jedoch stark verändert. Die Bedrohungsakteure führen groß angelegte Kampagnen durch, die ein noch nie dagewesenes Maß an Koordination, Automatisierung und Geschick demonstrieren und die Wahrscheinlichkeit und die Auswirkungen von operationellen Risiken erhöhen. Im Gegensatz zu früheren Vorfällen, bei denen Datenschutzverletzungen und Reputationsschäden im Vordergrund standen, ist eine weitreichende Unterbrechung des Geschäftsbetriebs heute eine reale Möglichkeit – etwas, dessen sich jeder Vorstand bewusst sein und auf das er reagieren muss.

Ausgestattet mit hochentwickelten Werkzeugen nutzen die Bedrohungsakteure zunehmend kompromittierte Zugangsdaten anstelle von Brute-Force-Hacking. Die von ihnen verursachten Schäden nehmen weiter zu, da die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2024 weltweit die Rekordmarke von 4,88 Millionen US-Dollar erreichen werden.

Noch beunruhigender ist die Tatsache, dass Datenschutzverletzungen oft nur der Anfang größerer und besser koordinierter Kampagnen sind. Bedrohungsakteure handeln offen mit Exploits im Dark Web, um kritische Infrastrukturen wie Stromnetze, Gesundheitsnetzwerke und Industriesysteme anzugreifen. Die Betreiber von Ransomware und Infostealern exfiltrieren Millionen von Unternehmensdatensätzen und erpressen ihre Opfer auf vielfältige Weise. Und da Unternehmen mehrere Cloud-Umgebungen verwalten und die Einführung künstlicher Intelligenz vorantreiben, vergrößern sich die Angriffsflächen und entstehen neue Identitätslücken, die Angreifer ausnutzen, um wichtige Daten zu stehlen.

Cyberkriminelle setzen zunehmend auf verdeckte Taktiken und geben dem Datendiebstahl Vorrang vor der Verschlüsselung und der Ausnutzung von Identitäten in großem Maßstab. Die Zunahme von Phishing-E-Mails, die Infostealer-Malware enthalten, und das Phishing von Anmeldedaten verstärken diesen Trend – und können darauf zurückgeführt werden, dass Angreifer KI einsetzen, um die Verbreitung zu erhöhen.

Generative KI ist eine neue und wachsende Ergänzung im Werkzeugkasten von staatlich unterstützten Bedrohungsakteuren, Cyberkriminellen, Hacktivisten und anderen. Diese Gegner sind begeisterte Nutzer, insbesondere wenn sie Social-Engineering-Kampagnen und Informationsoperationen mit hoher Geschwindigkeit durchführen. KI und automatisierte Lösungen können die Wirkung von Informationsdiebstahl verstärken, die Fälschung von Anmeldeinformationen beschleunigen und die Geschwindigkeit und das Ausmaß von Einbrüchen zu geringeren Kosten erhöhen.

Die meisten Unternehmen verfügen noch immer nicht über einen Cyber-Krisenplan oder ein Playbook für Szenarien, die eine schnelle Reaktion erfordern. Schnelles und entschlossenes Handeln ist erforderlich, um der zunehmenden Geschwindigkeit entgegenzuwirken, mit der Bedrohungsakteure, zunehmend unterstützt durch künstliche Intelligenz, Angriffe durchführen, Daten exfiltrieren und Schwachstellen ausnutzen.

Ein Beispiel für diesen beunruhigenden Trend ist die Kampagne von Salt Typhoon, einer APT-Gruppe (Advanced Persistent Threat). Im Jahr 2024 hat diese Gruppe von Bedrohungsakteuren praktisch alle großen US-Telekommunikationsanbieter kompromittiert – und darüber hinaus Ziele in Dutzenden anderer Länder angegriffen – und die Lieferketten, die Energieinfrastruktur, das Transportwesen, das Gesundheitswesen und andere kritische Dienste beeinträchtigt, einschließlich der Beeinträchtigung hochsensibler Regierungssysteme.1 Wie der Salt Typhoon-Angriff zeigt, werden Bedrohungsakteure immer geschickter darin, illegale Aktivitäten zu verschleiern. Sie nutzen immer häufiger kompromittierte Anmeldedaten, um sich in Netzwerke einzuloggen, so dass sie sich nicht mehr selbst einhacken müssen. Dadurch wird es viel schwieriger, diese Aktivitäten zu erkennen und zu isolieren. Wenn Bedrohungsakteure öffentliche Cloud-Infrastrukturen nutzen, wird es für Cyberverteidiger viel schwieriger, zwischen sicheren und unsicheren Workloads zu unterscheiden.

Die Fertigungsindustrie war im vierten Jahr in Folge die am häufigsten angegriffene Branche.  Unternehmen der Fertigungsindustrie waren weiterhin von Angriffen betroffen, darunter Erpressung (29 %) und Datendiebstahl (24 %), die auf finanzielle Vermögenswerte und geistiges Eigentum abzielten. Entgegen dem rückläufigen Trend bei Malware verzeichnete das verarbeitende Gewerbe im Jahr 2024 die meisten Ransomware-Fälle, da Angreifer in diesem Sektor weiterhin veraltete Legacy-Technologien ausnutzen.

Bedrohungsakteure erweitern ihre Toolbox um KI.

Die IBM und Red Hat Analysten haben dokumentiert, dass Bedrohungsakteure KI einsetzen, um Websites zu erstellen und Deepfakes in Phishing-Angriffe einzubauen. Sie haben auch beobachtet, dass Bedrohungsakteure KI einsetzen, um Phishing-E-Mails zu erstellen und bösartigen Code zu schreiben.

Die Anzahl der Infostealer, die über Phishing-E-Mails verbreitet werden, steigt pro Woche um 84 Prozent.

Im Vergleich zum Vorjahr verzeichnet X-Force eine Zunahme von Infostealern, die über Phishing-E-Mails und Credential-Phishing verbreitet werden. Beide führen zu aktiven Zugangsdaten, die in nachfolgenden identitätsbasierten Angriffen verwendet werden können. Phishing hat sich als Schatten-Infektionsvektor für die Kompromittierung legitimer Konten erwiesen. Wenn Benutzer auf legitim erscheinende Links klicken, können sie unwissentlich die Tür für Infostealer-Malware öffnen, die sensible Daten von den Opfern abschöpft. Da die Angreifer die Malware-Nutzlast raffinierter verstecken und verbreiten, kann es länger dauern, sie zu entdecken als Ransomware und Datenschutzverletzungen.

Identitätsbasierte Angriffe machen 30 % aller Einbrüche aus.

Im zweiten Jahr in Folge haben die Angreifer heimlichere und hartnäckigere Angriffsmethoden verwendet, wobei fast ein Drittel der von X-Force beobachteten Angriffe gültige Konten nutzten. Eine Zunahme von Phishing-E-Mails, die Infostealer-Malware und Credential-Phishing verbreiten, verstärkt diesen Trend, der möglicherweise darauf zurückzuführen ist, dass Angreifer KI einsetzen, um ihre Angriffe zu skalieren.

4 der 10 meistgenannten Schwachstellen im Dark Web werden mit hochentwickelten Bedrohungsakteuren in Verbindung gebracht.

Alle Top-10-Schwachstellen hatten öffentlich zugänglichen Exploit-Code oder wurden in der freien Wildbahn ausgenutzt, wobei für 60 % dieser Schwachstellen bereits weniger als zwei Wochen nach der Veröffentlichung ein öffentlicher Exploit verfügbar war – darunter auch mehrere Zero-Day-Schwachstellen. Dies erhöht die Risiken für Unternehmen, da hoch entwickelte Bedrohungsakteure, einschließlich staatlicher Akteure, die Anonymität des Dark Web nutzen, um neue Werkzeuge und Ressourcen zu erwerben.

26 % der Angriffe auf kritische Infrastrukturen nutzen öffentlich zugängliche Anwendungen aus.

Bei jedem vierten Angriff wurden Schwachstellen in gängigen öffentlichen oder über das Internet zugänglichen Anwendungen ausgenutzt. Nachdem sie sich Zugang verschafft haben, nutzen die Angreifer nach der Kompromittierung aktive Scanning-Techniken, um neue Schwachstellen zu identifizieren, sich weiteren Zugang zu verschaffen und sich in der kompromittierten Umgebung weiter zu bewegen. Am wichtigsten ist, dass die Angreifer versuchen, ihre Privilegien zu erweitern, um Zugang zu zentralen Diensten zu erhalten. Je länger eine Bedrohung unentdeckt bleibt, desto größer ist das Risiko. Lange Verweilzeiten ermöglichen es den Angreifern, ihre Aktivitäten zu verschleiern, indem sie Wochen oder sogar Monate nach einem ersten Einbruch Daten stehlen.

„Cyberkriminelle brechen meist ein, ohne etwas zu beschädigen – sie nutzen die Lücken im Identitäts- und Zugriffsmanagement, die sich in komplexen hybriden Cloud-Umgebungen ausbreiten. Kompromittierte Anmeldedaten bieten Angreifern mehrere potenzielle Einstiegspunkte, ohne dass ein Risiko besteht.

Unternehmen müssen sich von einer Ad-hoc-Präventionsmentalität verabschieden und sich auf proaktive Maßnahmen konzentrieren, wie die Modernisierung des Authentifizierungsmanagements, das Schließen von Lücken bei der Multi-Faktor-Authentifizierung und das Aufspüren von Bedrohungen in Echtzeit, um versteckte Bedrohungen aufzuspüren, bevor sensible Daten preisgegeben werden“, so Mark Hughes, Global Managing Partner für Cybersecurity Services, IBM. Die Sicherung von Linux-Umgebungen in Unternehmen ist von entscheidender Bedeutung, da sie wichtige Anwendungen, Datenbanken und Dienste beherbergen. Zu den Anwendungsfällen von Linux gehören Webserver, Anwendungsentwicklung, Cloud-Container und Virtualisierungs-Frameworks.

In Zusammenarbeit mit Red Hat Insights hat X-Force herausgefunden, dass 95 Prozent der Red Hat Enterprise Linux-Kunden für mindestens eine CVE-Schwachstelle mit einem öffentlich verfügbaren Exploit anfällig sind. Weitere 65% hatten mindestens drei CVEs mit bekannten Exploits. Obwohl diese Daten repräsentativ für Red Hat Enterprise Linux-Umgebungen sind, geben sie einen Hinweis darauf, womit viele Unternehmen in Bezug auf Schwachstellenausnutzung konfrontiert sind.

Darüber hinaus wiesen mehr als die Hälfte der Red Hat Enterprise Linux Kundenumgebungen mindestens eine kritische Sicherheitslücke auf, die nicht geschlossen wurde. Noch beunruhigender ist, dass 18 Prozent der Unternehmen fünf oder mehr Schwachstellen aufweisen, was bedeutet, dass fast jedes fünfte Unternehmen mit fünf oder mehr CVEs arbeitet.

Ransomware-Gruppen erstellen zunehmend Linux-Versionen ihrer Ransomware-Exploits, die nicht nur auf Windows-Umgebungen abzielen. Dies scheint mittlerweile die Norm zu sein, da alle Ransomware-Gruppen einen plattformübergreifenden Ansatz verfolgen und sowohl Windows als auch Linux und gelegentlich weitere Plattformen wie ESXi-Hypervisoren und FreeBSD unterstützen. Es gibt auch Berichte über Ransomware-Gruppen, die zunehmend die Bring your own Vulnerable Driver (BYOVD)-Technik einsetzen, um ihre Rechte zu erweitern und Prozesse wie EDR zu beenden.

Bedrohungsakteure erpressen ihre Opfer auf vielfältige Weise. Traditionell wurde Ransomware eingesetzt, um Systeme zu verschlüsseln und die Opfer zu zwingen, für die Entschlüsselungsschlüssel zu bezahlen. In jüngster Zeit erpressen Bedrohungsakteure ihre Opfer jedoch auch ohne den Einsatz von Ransomware. In diesen Fällen werden oft gestohlene Daten verwendet, um die Opfer zur Zahlung für die Wiederherstellung zu zwingen.

Europa war 2024 mit 23 % der Vorfälle die drittwichtigste Angriffsregion. Der Zugriff auf Server (15 %), die Erlangung von Tools und Zugangsdaten (12 %) sowie Malware und Ransomware (9 %) waren die am häufigsten beobachteten Aktionen, wobei die Angreifer die Ausnutzung öffentlicher Anwendungen (36 %) als ersten Zugangsvektor nutzten.

Das Abgreifen von Anmeldeinformationen (46 %) war die häufigste Auswirkung, gefolgt von Datenlecks (31 %) und Datendiebstahl (15 %), was zeigt, dass sich die Angreifer darauf konzentrieren, sensible Informationen zu Geld zu machen. Mit 38 % der Vorfälle lag der Sektor der freiberuflichen, gewerblichen und Verbraucherdienstleistungen an der Spitze, gefolgt vom Finanz- und Versicherungssektor (18 %) und dem verarbeitenden Gewerbe (18 %).

Das Vereinigte Königreich war mit 25 Prozent der Vorfälle das am häufigsten angegriffene Land in Europa, gefolgt von Deutschland (18 Prozent) und Österreich (14 Prozent).

Since 1993, IBM has been collecting, analyzing and sharing information and expertise about cyber adversaries to help organizations navigate the evolving threat landscape. The IBM X-Force 2025 Threat Intelligence Index focuses on observations from our expert team of analysts, researchers, and hackers, tracking how threat actors get in, what they do once they’re in, and the impact of each breach.

But over the past 18-24 months, there has been a marked change in tactics. Threat actors are pursuing broader-scale campaigns—demonstrating a level of coordination, automation, and prowess not seen before—and raising the likelihood and impact associated with operational risks. Unlike incidents of the past, where data breaches and reputational harm were the greatest concern, widescale business disruption is now a real possibility—something every boardroom needs to be aware of and act upon.

Equipped with advanced tools, threat actors are increasingly using compromised log-in credentials rather than brute-force hacking. The damage they inflict continues to grow as the global average cost of a data breach hit a record $4.88 million in 2024.

What’s even more concerning is that data breaches are often only the start of larger and more coordinated campaigns. Threat actors openly trade exploits on the dark web to target critical infrastructure such as power grids, health networks, and industrial systems. Ransomware and infostealer operators exfiltrate millions of credentials from enterprises and extort victim organizations in multiple ways. And as businesses manage multiple cloud environments and accelerate AI adoption, attack surfaces expand and create new gaps in identity that attackers exploit to steal critical data.

Cybercriminals are increasingly adopting stealthy tactics and prioritizing data theft over encryption and exploiting identities at scale. A surge in phishing emails delivering infostealer malware and credential phishing are fueling this trend—and may be attributed to attackers leveraging AI to scale distribution.

Generative AI is emerging as a new and growing addition to the toolbox of nation-state-backed threat actors, cybercriminals, hacktivists, and others. These adversaries are avid adopters, especially as they launch social engineering campaigns and high-tempo information operations. AI and automated solutions can magnify the impact of infostealers, expedite the fabrication of credentials, and make it easier to amplify the speed and scale of intrusions at lower cost.

Most organizations still don’t have a cyber crisis plan or playbooks for scenarios that require swift responses. Quick, decisive action is required to counteract the faster pace with which threat actors, increasingly aided by AI, can conduct attacks, exfiltrate data, and exploit vulnerabilities.

A campaign conducted by Salt Typhoon, an advanced persistent threat (APT) group, exemplifies this troubling trend. In 2024, this threat actor group compromised virtually every major US telecommuni­cations provider—in addition to targets in dozens of other countries—impacting supply chains, energy infrastructure, transportation, healthcare, and other critical services, including breaches of highly sensitive government systems.1

As the Salt Typhoon attack demonstrates, threat actors are becoming more proficient at hiding illicit activity. They are massively increasing their use of compromised credentials to log in to networks, precluding any need to hack in. And doing so makes this activity much harder to detect and isolate. When threat actors use public cloud infrastructure, it becomes far more difficult for cyberdefenders to discern between safe and unsafe workloads.

Key Takeaways

Manufacturing is the #1-targeted industry, four years in a row.

Manufacturing organizations continued to experience significant impacts from attacks, including extortion (29%) and data theft (24%), targeting financial assets and intellectual property. Defying the declining trend in malware, manufacturing had the highest number of ransomware cases in 2024 as attackers continue to exploit outdated legacy technology in this industry.

Threat actors add AI to their toolboxes.

Our analysts have documented that threat actors are using AI to build web sites and incorporate deepfakes in phishing attacks. We have also observed threat actors applying gen AI to create phishing emails and write malicious code.

Number of infostealers delivered via phishing emails per week increases by 84%.

Year-over-year, X-Force is seeing a rise in infostealers delivered via phishing emails and credential phishing. Both result in active credentials that may be used in follow-on, identity-based attacks. Phishing has emerged as a shadow infection vector for valid account compromises. By clicking on links that seem legitimate, users can unknowingly open the door to infostealer malware that siphons sensitive data from victims. Because adversaries hide and deliver malware payloads more cleverly, it can take longer to detect than ransomware and data breaches.

Identity-based attacks make up 30% of total intrusions.

For the second year in a row attackers adopted more stealthy and persistent attack methods, with nearly one in three attacks that X-Force observed using valid accounts. A surge in phishing emails distributing infostealer malware and credential phishing fuels this trend, which may be attributed to attackers leveraging AI to scale attacks.

4 out of top 10 vulnerabilities most mentioned on the dark web are linked to sophisticated threat actors.

All top 10 vulnerabilities had publicly available exploit code or were being exploited in the wild, with 60% of these having a public exploit available from less than two weeks after disclosure — including several zero day vulnerabilities. This raises the risks for businesses as sophisticated threat actors, including nation-state actors, leverage dark web anonymity to acquire new tools and resources.

26% of attacks against critical infrastructure exploit public-facing applications.

One in four attacks exploited vulnerabilities in common public-facing or internet accessible applications. After gaining access, threat actors use active scanning techniques post-compromise to identify new vulnerabilities, gain additional access, and move laterally in compromised environments. Most importantly, attackers seek to escalate privileges to gain access to core services. The longer a threat remains undetected, the greater the risk. Long dwell times allow adversaries to mask their activity by “living off the land”—stealing data weeks or even months after an initial breach.

“Cybercriminals are most often breaking in without breaking anything – capitalizing on identity and access management gaps proliferating from complex hybrid cloud environments. Compromised credentials offer attackers multiple potential entry points with effectively no risk.

Businesses need to shift away from an ad-hoc prevention mindset and focus on proactive measures such as modernizing authentication management, plugging multi-factor authentication holes and conducting real-time threat hunting to uncover hidden threats before they expose sensitive data”

Mark Hughes, Global Managing Partner for Cybersecurity Services, IBM

Securing enterprise Linux environments is critical because they host essential applications, databases, and services. Linux use cases include web server, application development, cloud container, and virtualization frameworks.

In collaboration with Red Hat Insights, X-Force found that 95% of Red Hat Enterprise Linux customers were vulnerable to at least one CVE with a publicly available exploit. Additionally, 65% had at least three CVEs with known exploits. While this data is representative of Red Hat Enterprise Linux environments, it provides an indication of what many organizations are likely facing in terms of exposure to vulnerability exploitation.

Furthermore, more than half of Red Hat Enterprise Linux customers’ environments had at least one critical CVE unaddressed. Even more concerning, 18% of organizations faced five or more vulnerabilities, meaning that nearly one in five organizations are operating with five or more CVEs.

Ransomware groups are increasingly creating Linux versions of their ransomware exploits in addition to targeting Windows environments. This now appears to be the norm, with all ransomware groups adopting a cross-platform approach and supporting both Windows and Linux, and occasionally additional platforms such as ESXi hypervisors and FreeBSD. There are also reports of ransomware groups increasingly using the bring-your-own-vulnerable-driver (BYOVD) technique to escalate privileges and terminate processes such as EDR.

Threat actors extort victims in many ways. Traditionally, ransomware has been used to encrypt systems and urge victims to pay for decryption keys. More recently, however, threat actors have extorted victims without using ransomware. In these cases, stolen data is often used to pressure victims into paying for retrieval.

Europe ranked as the third most targeted region in 2024, accounting for 23% of incidents. Server access (15%), tool-credential acquisition (12%), and malware- ransomware (9%) were the most common actions observed, with attackers leveraging exploitation of public-facing applications (36%) as the leading initial access vector.

Credential harvesting (46%) was the dominant impact, followed by data leak (31%) and data theft (15%), showcasing the attackers’ focus on monetizing sensitive information. The professional, business, and consumer services sector led with 38% of incidents, followed by finance and insurance (18%) and manufacturing (18%).

The United Kingdom was the most targeted country in Europe with 25% of incidents, followed by Germany (18%) and Austria (14%).