Infostealer-Malware bedroht jetzt gezielt Unternehmensnetzwerke

Cyberkriminelle haben ihre Angriffe auf Unternehmenszugänge verschärft. Aktuelle Berichte von Microsoft und Flashpoint zeigen: Gestohlene VPN-Zugänge und Session-Cookies sind zum Haupt-Einfallstor für Netzwerkangriffe geworden. Die Angreifer nutzen raffinierte Social-Engineering-Methoden, um Mitarbeiter in die Falle zu locken.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind: Neue Gesetze und raffinierte Hacker-Methoden verschärfen die Bedrohungslage für die IT-Infrastruktur massiv. Dieser Experten-Report enthüllt effektive Strategien, wie Sie Ihr Unternehmen ohne Budget-Explosion wappnen. Kostenlosen Cyber-Security-Leitfaden jetzt anfordern

Die Tools, die eigentlich den Zugang zum Firmennetzwerk schützen sollen, werden zunehmend selbst zur Waffe. Statt breiter Angriffe auf Verbraucher zielen Hacker nun präzise auf Unternehmens-Infrastruktur. Diese Entwicklung markiert einen gefährlichen Wandel: Aus lästiger Schadsoftware für Privatnutzer ist eine ernste Krise für die Unternehmenssicherheit geworden.

Gezielte Angriffe auf VPN-Clients

Die Angriffe werden immer präziser. Die als Storm-2561 bekannte, finanziell motivierte Gruppe manipuliert laut Microsoft gezielt Suchmaschinenergebnisse. Sie gibt sich als Anbieter von Enterprise-Software wie Fortinet, Ivanti oder Cisco aus, um Mitarbeiter auf der Suche nach VPN-Clients zu täuschen.

Nutzer, die VPN-Software herunterladen wollen, werden durch manipulierte Suchergebnisse auf bösartige Websites geleitet. Die dort angebotenen Installationsdateien laden heimlich Schadkomponenten wie die Hyrax-Infostealer-Variante nach. Diese Malware arbeitet direkt im Systemspeicher, um Virenscanner zu umgehen, und stiehlt gespeicherte VPN-Zugangsdaten.

Die gestohlenen Informationen werden sofort zu den Angreifern übertragen. Diese erhalten damit direkten, authentifizierten Zugang zum Firmennetzwerk. Der Installationsweg ist gezielt so gestaltet, dass er wie eine legitime Administratoren-Aufgabe aussieht. So weckt er keinen Verdacht und umgeht grundlegende Sicherheitsfilter.

Automatisierte Angriffe mit Milliarden gestohlener Zugänge

Das Ausmaß der kompromittierten Daten ist beispiellos. Laut dem Global Threat Intelligence Report 2026 von Flashpoint infizierten Infostealer im vergangenen Jahr weltweit etwa 11,1 Millionen Rechner. Das Ergebnis: Ein Vorrat von 3,3 Milliarden gestohlenen Zugangsdaten, Session-Cookies, Cloud-Tokens und persönlichen Daten.

Malware-Varianten wie Vidar 2.0, Lumma und Rhadamanthys gehören zu den am häufigsten eingesetzten Werkzeugen. Statt komplexer Folge-Malware nutzen Angreifer zunehmend gestohlene Session-Cookies. Diese erlauben es ihnen, sich als legitime Nutzer auszugeben und so Sicherheitsbarrieren wie die Zwei-Faktor-Authentifizierung komplett zu umgehen.

Die Angriffsfläche hat sich massiv vergrößert. Sie umfasst heute Mitarbeiter-Browser, private unverwaltete Geräte, SaaS-Plattformen und den Zugang von Drittanbietern. Über diese exponierten Endpunkte können Cyberkriminelle ganze Angriffszyklen mit minimalem menschlichem Einsatz automatisieren – schneller, als konventionelle Sicherheitsüberwachung reagieren kann.

WordPress-Websites als globales Einfallstor

Die Verbreitungsmethoden werden immer trickreicher. Ein Bericht von Rapid7 deckte eine weitreichende Kampagne auf, die über 250 legitime WordPress-Websites weltweit kompromittierte. Betroffen sind regionale Nachrichtenportale, lokale Unternehmensseiten und offizielle politische Websites in mindestens zwölf Ländern – darunter auch Deutschland.

Die Angreifer nutzen eine Social-Engineering-Technik namens ClickFix. Besucher der kompromittierten Seiten sehen eine täuschend echte, gefälschte Cloudflare-CAPTCHA-Seite. Statt einer visuellen Verifizierung werden sie aufgefordert, einen spezifischen Befehl auf ihrem lokalen Rechner auszuführen – angeblich, um ihren Browser zu überprüfen oder einen Anzeigefehler zu beheben.

Diese manuelle Aktion löst den Download von Infostealer-Payloads wie Vidar Stealer oder Impure Stealer aus. Die automatisierte Art dieser WordPress-Kompromittierung deutet auf eine organisierte, langfristige kriminelle Kampagne hin. Vertrauenswürge Web-Infrastruktur wird so zur Startrampe für den Diebstahl von Zugangsdaten.

Blühender Schwarzmarkt für Unternehmenszugänge

Die Folgen dieser Angriffe reichen weit über die erste Infektion hinaus. Gestohlene Unternehmensdaten bleiben selten beim ursprünglichen Angreifer. Stattdessen werden Infostealer-Logs routinemäßig auf unterirdischen Cybercrime-Marktplätzen verpackt und verkauft.

Das schafft eine blühende Schattenwirtschaft. Initial Access Broker kaufen dort fertigen Zugang zu Firmensystemen, den sie anschließend an Ransomware-Betreiber oder staatlich geförderte Spionagegruppen weiterverkaufen. Die Schwere dieser Bedrohung hat internationale Strafverfolgungsbehörden auf den Plan gerufen.

Am 4. März gab Europol die Zerschlagung von LeakBase bekannt, einem großen Cybercrime-Forum für den Handel mit "Stealer-Logs". Die Behörden beschlagnahmten die Domain und leiteten weltweit Maßnahmen gegen die aktivsten Nutzer der Plattform ein. Trotz dieser Erfolge bleibt der Markt für Unternehmenszugänge äußerst lukrativ und widerstandsfähig.

Schutzmaßnahmen werden dringender denn je

Um der wachsenden Flut an Infostealer-Infektionen zu begegnen, drängen Cybersicherheitsbehörden auf strengere Endpunkt-Kontrollen. Microsoft rät dringend davon ab, Unternehmenszugangsdaten in browserbasierten Passwort-Tresoren zu speichern, die nur mit persönlichen Zugangsdaten gesichert sind. IT-Abteilungen sollten zudem die Browser-Passwortsynchronisation auf verwalteten Geräten über Gruppenrichtlinien deaktivieren.

Hacker nutzen psychologische Angriffsmuster und CEO-Fraud immer erfolgreicher, um in Firmennetze einzudringen. Dieser 4-Schritte-Guide zeigt IT-Verantwortlichen, wie sie ihr Unternehmen mit branchenspezifischen Maßnahmen effektiv vor Phishing-Attacken schützen. Anti-Phishing-Paket zur Hacker-Abwehr kostenlos sichern

Die Bedrohungslage wird sich weiter verschärfen. Mit fortschrittlichen KI-Tools könnten Cyberkriminelle bald gestohlene Zugangsdaten gleichzeitig gegen Tausende von Unternehmens-Endpunkten testen – und in Sekunden verwundbare VPNs und Cloud-Dienste identifizieren.

Unternehmen müssen daher robuste Endpoint Detection and Response (EDR)-Lösungen priorisieren. Kontinuierliche Überwachung ungewöhnlicher Login-Aktivitäten, die strikte Durchsetzung der Zwei-Faktor-Authentifizierung und umfassende Security-Awareness-Schulungen sind heute unverzichtbar, um die Risiken durch Social Engineering und Identitätsdiebstahl einzudämmen.