Mandiant M-Trends 2025 Report

Zum ersten Mal seit Mandiant 2010 mit der Veröffentlichung seines jährlichen Bedrohungsberichts begann, stieg die globale mittlere Verweildauer von 10 Tagen im Jahr 2023 auf 11 Tage. Diese Kennzahl, die misst, wie lange Angreifer in kompromittierten Umgebungen unentdeckt bleiben, signalisiert eine mögliche Umkehrung der jahrzehntelangen Verbesserung der Erkennungsfähigkeiten.

Exploits bleiben weiterhin vorherrschend

Exploits dominierten weiterhin als primärer Infektionsvektor und machten 33 % der im Jahr 2024 untersuchten Angriffe aus. Es gab jedoch eine bedeutende Veränderung: Gestohlene Anmeldedaten überholten E-Mail-Phishing als zweithäufigsten Einstiegspunkt und machten 16 % der Sicherheitsverletzungen aus, verglichen mit 14 % für Phishing. Diese Veränderung spiegelt die wachsende Bedrohung durch Infostealer-Malware wider, die Mandiant als zunehmend kritisches Problem für Unternehmenssysteme identifiziert.

Der Bericht hebt hervor, dass Angreifer von Zugangsdaten profitieren, die auf Untergrundmärkten zirkulieren, wobei sie manchmal gestohlene Zugangsdaten verwenden, die bereits Jahre alt sind. In einem bemerkenswerten Fall, der Kundeninstanzen von Snowflake betraf, nutzte der Angreifer UNC5537 Zugangsdaten aus Infostealer-Infektionen, die bis November 2020 zurückreichen.

Finanzsektor unter Beschuss

Der Finanzsektor blieb mit einem Anteil von 17,4 % an den Untersuchungen die am stärksten betroffene Branche. Finanzielle Motive waren in 35 % aller Fälle ausschlaggebend, wobei Ransomware in 21 % der Vorfälle eine Rolle spielte. Ransomware-bezogene Sicherheitsverletzungen wiesen mit insgesamt nur sechs Tagen eine deutlich kürzere Verweildauer auf, was die Notwendigkeit der Angreifer widerspiegelt, Erpressungsaktionen schnell durchzuführen.

Herausforderungen bei der Erkennung bestehen weiterhin

Externe Benachrichtigungen – oft von den Angreifern selbst in Form von Lösegeldforderungen – machten Unternehmen in 57 % der Fälle weltweit auf Sicherheitsverletzungen aufmerksam. Eine interne Erkennung erfolgte nur in 43 % der Vorfälle, was die anhaltenden Herausforderungen bei der Sichtbarkeit verdeutlicht. Mandiant konnte in 34 % der Untersuchungen den ursprünglichen Infektionsvektor nicht bestimmen, was auf erhebliche Mängel bei den Protokollierungs- und Erkennungsfähigkeiten von Unternehmen hinweist.

Cloud und neue Bedrohungen

Der Bericht dokumentiert eine Zunahme von Angriffen auf Cloud-Umgebungen, wobei 39 % der Cloud-Kompromittierungen durch E-Mail-Phishing und 35 % durch gestohlene Anmeldedaten begannen. IT-Mitarbeiter aus der Demokratischen Volksrepublik Korea (DVRK) stellten eine neue Insider-Bedrohung dar und machten 5 % der identifizierten ursprünglichen Infektionsvektoren aus, da nordkoreanische Agenten unter falschen Vorwänden eine Anstellung suchten, um Einnahmen für das Regime zu generieren. Dies ist eine überraschende neue Entwicklung, die zeigt, dass Nordkorea eine noch größere Bedrohung für die Weltwirtschaft darstellt als bisher angenommen.

Expertenkommentar

Aron Brand, CTO bei CTERA, kommentierte auf LinkedIn: „Lassen Sie das auf sich wirken. Es handelt sich um eine staatlich geförderte Operation, die erfolgreich Tausende von IT-Mitarbeitern in westlichen Unternehmen platziert hat. Sie werden für Remote-Positionen eingestellt, bestehen Vorstellungsgespräche und erhalten Zugang zu allem.

Das Ausmaß der Raffinesse ist unglaublich: Sie verwenden gestohlene oder komplett erfundene Identitäten, nicht nur gefälschte Lebensläufe. Und um den Anschein zu erwecken, dass sie in den USA ansässig sind, haben sie hier Vermittler, die die vom Unternehmen ausgegebenen Laptops verwalten, auf die die Agenten dann aus dem Ausland zugreifen. Sie stellen sogar Mitarbeiter vor Ort ein, die sich um die Logistik kümmern, Post entgegennehmen und sogar persönliche Überprüfungen bestehen.

Wenn diese Mitarbeiter entdeckt werden, greifen sie zu Erpressung und drohen, interne Unternehmensdaten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Ihr Mitarbeiterüberprüfungsprozess ist nun eine Frontlinie zur Abwehr einer Bedrohung durch einen Nationalstaat. Das wirft wirklich die Frage auf, ob wir genug tun, um zu überprüfen, wem wir die Schlüssel zum Königreich geben.“

Regionale Unterschiede

Unternehmen in Amerika verzeichneten eine mittlere Verweildauer von 10 Tagen, wobei 46 % der Angriffe intern entdeckt wurden. In EMEA stieg die Verweildauer auf 27 Tage, während JAPAC mit insgesamt sechs Tagen die kürzeste Verweildauer aufwies. Auf die Vereinigten Staaten entfiel etwa die Hälfte aller Datenlecks im Zusammenhang mit Ransomware-Operationen.

Wichtige Empfehlungen

Mandiant betont die Implementierung einer phishing-resistenten Multi-Faktor-Authentifizierung, insbesondere FIDO2-konformer Methoden, die Durchführung regelmäßiger Sicherheitsbewertungen und die Verbesserung der Transparenz durch umfassende Protokollierung. Unternehmen müssen sich auch mit ungesicherten Datenspeichern befassen, die laut dem Bericht ein oft übersehener Angriffsvektor sind, der Angreifern Zugangsdaten, Netzwerkdokumentation und sensible Daten liefern kann.

Der M-Trends 2025-Bericht unterstreicht, dass zwar die Taktiken der Angreifer sich ständig weiterentwickeln, grundlegende Sicherheitsmaßnahmen jedoch nach wie vor entscheidend für die Abwehr sowohl ausgeklügelter als auch opportunistischer Angriffe sind.

For the first time since Mandiant began publishing its annual threat report in 2010, global median dwell time increased—rising to 11 days from 10 days in 2023. This metric, measuring how long attackers remain undetected in compromised environments, signals a potential reversal of the decade-long improvement in detection capabilities.

Exploitation Remains King

Exploits continued to dominate as the primary initial infection vector, accounting for 33% of intrusions investigated in 2024. However, a significant shift emerged: stolen credentials overtook email phishing as the second most common entry point, representing 16% of breaches compared to 14% for phishing. This change reflects the growing threat of infostealer malware, which Mandiant identifies as an increasingly critical concern for enterprise systems.

The report highlights that attackers are capitalizing on credentials circulating in underground markets, sometimes using stolen credentials that are years old. In one notable case involving Snowflake customer instances, threat actor UNC5537 leveraged credentials from infostealer infections dating back to November 2020.

Financial Sector Under Siege

The financial sector remained the most targeted industry, accounting for 17.4% of investigations. Financially motivated intrusions represented 35% of all cases, with ransomware involved in 21% of incidents. Ransomware-related breaches showed dramatically shorter dwell times—just six days overall—reflecting attackers‘ need for speed in extortion operations.

Detection Challenges Persist

External notifications—often from adversaries themselves through ransom notes—alerted organizations to breaches in 57% of cases globally. Internal detection occurred in only 43% of incidents, highlighting ongoing visibility challenges. Mandiant was unable to determine the initial infection vector in 34% of investigations, pointing to significant deficiencies in enterprise logging and detection capabilities.

Cloud and Emerging Threats

The report documents increasing attacks on cloud environments, with 39% of cloud compromises beginning through email phishing and 35% through stolen credentials. Democratic People’s Republic of Korea (DPRK) IT workers emerged as a novel insider threat, representing 5% of identified initial infection vectors as North Korean operatives sought employment under false pretenses to generate revenue for the regime. This is a surprising new development showing that North Korea presents an even greater threat to the global economy than previously thought.

Expert Comment

Aron Brand, CTO at CTERA, commented on LinkedIn: “Let that sink in. It’s a state-sponsored operation that has successfully placed thousands of IT workers inside Western companies. They’re getting hired for remote roles, passing interviews, and getting access to everything.

The level of sophistication is wild: They use stolen or completely fabricated personas, not just fudged resumes. And to appear US-based, they have facilitators here who manage company-issued laptops, which the operatives then remote into from abroad. They even hire onshore people to handle logistics, receive mail, and even pass in-person screenings.

When these operatives are discovered, they turn to extortion, threatening to leak the company’s internal data unless a ransom is paid.

Your employee vetting process is now a frontline defense against a nation-state threat. It really makes you question if we’re doing enough to verify who we’re giving the keys to the kingdom.”

Regional Variations

Americas organizations experienced a median dwell time of 10 days, with 46% detecting intrusions internally. In EMEA, dwell time rose to 27 days, while JAPAC showed the shortest at six days overall. The United States accounted for approximately half of all data leak site listings related to ransomware operations.

Key Recommendations

Mandiant emphasizes implementing phishing-resistant multifactor authentication, particularly FIDO2-compliant methods, conducting regular security assessments, and improving visibility through comprehensive logging. Organizations must also address unsecured data repositories, which the report identifies as an often-overlooked attack vector that can provide attackers with credentials, network documentation, and sensitive data.

The M-Trends 2025 report underscores that while threat actors continue to evolve their tactics, fundamental security practices remain critical for defending against both sophisticated and opportunistic attacks.