Forscher von Kaspersky legen einen technischen Ueberblick ueber 14 aktive Angreifergruppen vor, die Organisationen in Russland, Belarus und benachbarten Staaten besonders haeufig attackieren. Einen wesentlichen Anteil stellen seit 2022 neu entstandene Haktivisten, die sich oeffentlich als „proukrainisch“ positionieren. Die Teams klassifizieren die Szene in drei Cluster nach Motivlage und eingesetztem Tooling, um TTPs (Tactics, Techniques and Procedures) systematisch zu beschreiben und Risiken fuer Unternehmenssicherheit besser zu bewerten.
Drei Bedrohungs-Cluster: Motive, Tooling und Implikationen
Nach 2022 ist die Zahl der gegen russische Organisationen gerichteten Gruppen deutlich gestiegen – vor allem durch Haktivisten-Kollektive. Die Akteure koordinieren sich zunehmend, tauschen Knowledge und Werkzeuge aus und agieren mit klarer Oeffentlichkeitswirkung. Die Cluster basieren auf ideologischen bzw. pragmatischen Zielen und auf dem Arsenal, das vom initialen Zugang bis zur Wirkung reicht. Das erleichtert es Verteidigern, branchenspezifische Schutzprioritaeten zu definieren.
Trends 2022–2025: Mehr Koordination und technische Reife
Werkzeug‑ und Rollenteilung beschleunigt Kampagnen
Viele der untersuchten Gruppen teilen Rollen und Werkzeuge entlang der Kill Chain: vom Erstzugang ueber Persistenz bis zur Auswirkung. Erfolgreiche TTPs werden recycelt; Loader, Exploits und Remote-Access-Module tauchen wiederholt in verschiedenen Kampagnen auf. Ergebnis sind schnellere, breiter angelegte Operationen mit hohem Wiederverwendungsgrad, was die Erkennung erschwert und die Reaktionszeit verkuerzt.
Red-Team-Techniken im Realangriff
Die technische Reife nimmt zu: Red-Team-nahe Verfahren, die frueher vor allem in Uebungen vorkamen, werden regelmaessig operationalisiert. Dazu gehoeren fortgeschrittene Persistenzmechanismen, laterale Bewegungen, das Ausnutzen vertrauenswuerdiger Bordmittel (Living-off-the-Land) sowie die Kombination legitimer Admin-Tools mit maßgeschneiderten Loadern. Die eingesetzten Muster lassen sich entlang von MITRE ATT&CK abbilden, was die strukturierte Abwehrplanung ermoeglicht.
Zielbranchen: oeffentlicher Sektor, Industrie, Telekommunikation
Waehrend prinzipiell alle Branchen betroffen sind, zaehlen Staat, industrielle Unternehmen und Telekommunikation konstant zu den meistadressierten Zielen. Entscheidend ist weniger die Groesse eines Unternehmens als vielmehr Datennutzen, Infrastrukturbedeutung oder Einfluss auf Lieferketten. 2025 hat sich die Lage weiter verdichtet: Kaspersky beobachtet mindestens sieben neue Gruppen, die Angriffe auf Organisationen in Russland oeffentlich reklamieren.
Kontext und Risikobild fuer russische Organisationen
Seit 2022 zaehlt Russland laut Kaspersky zu den staerksten Zielregionen im Cyberraum. Haupttreiber ist Haktivismus – sowohl in Breite als auch in Professionalitaet. Besonders kritisch ist die rasche Diffusion wirksamer TTPs: Sobald eine Technik Erfolg zeigt, wird sie von anderen Gruppen adaptiert. Das fuehrt zu haeufigeren Wiederholungsangriffen, hoeherer Alarmdichte und steigender Belastung von SOC- und Incident-Response-Teams.
Abwehrprioritaeten 2025: praxisnah und risikoorientiert
1) Erstzugang hart absichern: MFA konsequent; striktes RDP/VPN-Hardening; Minimierung externer Angriffsflaechen; staerkere Kontrollen fuer Fernzugriffe. Auf ATT&CK-Ebene vor allem Initial Access, Valid Accounts und Exploitation of Public-Facing Applications adressieren.
2) Segmentierung und Least Privilege: Netzwerkzonen trennen, seitliche Bewegungen begrenzen, privilegierte Konten und Secrets minimieren. Regelmaessige Rechte-Reviews und Just-in-Time-Privilegien.
3) Sichtbarkeit und Telemetrie: EDR/XDR mit breiter Log-Telemetrie (Endpoints, Netzwerk, Identity, Cloud). Detection-Engineering gegen LOL-basierte Techniken; Baselines und Anomalieerkennung verknuepfen.
4) Threat Intelligence nach TTP-Clustern: Feeds und Analysen auf Cluster-spezifische Taktiken ausrichten; Playbooks und Jagd-Queries anhand ATT&CK aktualisieren. Indikatoren allein genuegen nicht – Prozeduren und Pattern gelten laenger.
5) Response-Fitness testen: Tabletop-Uebungen, Recovery-Drills, Offline-Backups mit Restore-Tests. Kommunikations- und Entscheidungswege klar definieren, Runbooks aktuell halten.
Die Analyse unterstreicht den systemischen Charakter der Angriffe seit 2022 und die Rolle des Haktivismus als zentrales Risiko. Organisationen sollten ihre Bedrohungsmodelle zeitnah aktualisieren, Kritikalitaet mit TTP-Exposition abgleichen und „schnelle Gewinne“ umsetzen: MFA, Segmentierung, belastbare Sichtbarkeit und reaktionsfaehige Prozesse. Wer Verteidigungsmassnahmen konsistent an Clustern und TTPs ausrichtet, reduziert die Wirkung eines wachsenden, geteilten Angreifer-Arsenals spuerbar.
