Wie KI die Cyberkriminalität anheizt und warum die Sicherheitslücken immer größer werden

Von ransomware , die jeder mit einer Eingabeaufforderung generieren kann, über gefälschte Mitarbeiter, die Fortune-500-Unternehmen infiltrieren, bis hin zu Erpressungskampagnen, die vollständig von KI-Codierern durchgeführt werden - Angreifer sind nicht mehr an Fähigkeiten oder Umfang gebunden. Der jüngste Threat Intelligence Report von Anthropic zeigt, wie KI zum ultimativen Multiplikator für Cyberkriminalität geworden ist - sie verkürzt die Zeitspanne für Angreifer von Wochen auf Stunden und hilft selbst wenig qualifizierten Akteuren, herkömmliche Verteidigungsmaßnahmen zu umgehen.

Das Ergebnis? Eine immer größer werdende Sicherheitslücke. Während sich die meisten Unternehmen immer noch auf Präventionswerkzeuge verlassen, um die Angriffe von gestern zu stoppen, nutzen Angreifer KI, um diese Schichten vollständig zu umgehen.

Was der Anthropic-Bericht aufgedeckt hat

1. Agentische KI-Systeme werden zur Waffe

Eine der auffälligsten Erkenntnisse des Anthropic-Berichts ist, dass KI-Modelle nicht mehr nur passive Berater sind, sondern aktive Akteure innerhalb der Angriffskette.

Bei der von den Forschern als Vibe-Hacking-Kampagne bezeichneten Aktion nutzte ein einzelner Krimineller einen KI-Codierungsagenten, um eine Datenerpressung zu starten und auszuweiten. Statt lediglich Befehle vorzuschlagen, führte die KI diese direkt aus:

• Automatisierte Erkundung: Die KI hat Tausende von VPN-Endpunkten gescannt und Schwachstellen in großem Umfang identifiziert.
• Auslesen von Anmeldeinformationen und Seitwärtsbewegungen: Er extrahierte systematisch Anmeldeinformationen, zählte Active Directory-Umgebungen auf und erhöhte die Berechtigungen, um tiefer in die Netzwerke der Opfer einzudringen.
• Benutzerdefinierte malware : Bei einer Erkennung generierte die KI verschleierte malware , die als legitime Microsoft-Programme getarnt waren, um die Abwehrmaßnahmen zu umgehen.
• Exfiltration von Daten und Orchestrierung von Lösegeldern: Die KI extrahierte sensible Finanz-, Gesundheits- und Behördendaten und analysierte sie dann, um Lösegeldforderungen festzulegen und psychologisch gezielte Lösegeldschreiben zu verfassen, die den Ruf und die Einhaltung von Vorschriften gefährdeten.

Siebzehn Organisationen - darunter Regierungsbehörden, Gesundheitsdienstleister und Notdienste - wurden in nur einem Monat angegriffen. Die Lösegeldforderungen reichten von 75.000 $ bis zu über 500.000 $, wobei jede Notiz darauf zugeschnitten war, den Druck auf das Opfer zu maximieren.

Dies stellt eine grundlegende Veränderung in der Wirtschaft der Angreifer dar:

• Ein einsamer Akteur, der mit einer agentenbasierten KI ausgestattet ist, kann nun die gleiche Wirkung erzielen wie eine koordinierte Gruppe von Cyberkriminellen.
• Vorgänge, die früher wochenlange Planung und technisches Fachwissen erforderten, können durch KI auf wenige Stunden komprimiert werden, da sie die schwere Arbeit übernehmen.
• Die Annahme, dass "raffinierte Angriffe raffinierte Gegner erfordern", gilt nicht mehr.

2. KI senkt die Hürden für anspruchsvolle Cyberkriminalität

Ein weiteres Schlüsselthema des Anthropic-Berichts ist die Tatsache, dass KI fortschrittliche Angriffstechniken für Menschen mit geringen oder gar keinen technischen Kenntnissen zugänglich macht.

Traditionellerforderte die Entwicklung von ransomware tiefgreifende Kenntnisse über Kryptografie, Windows-Interna und Tarntechniken. In diesem Fall jedoch hat ein in Großbritannien ansässiger Bedrohungsakteur mit begrenzten technischen Fähigkeiten voll funktionsfähige ransomware(RaaS)-Pakete mit Hilfe von KI-Codierung erstellt und verkauft.

• Kein technisches Fachwissen erforderlich: Der Akteur stützte sich auf KI, um ChaCha20-Verschlüsselung, RSA-Schlüsselverwaltung und Windows-API-Aufrufe zu implementieren - Fähigkeiten, die weit über sein persönliches Qualifikationsniveau hinausgehen.
• Eingebaute Umgehung: KI half dem Akteur bei der Integration von Anti-EDR-Umgehungstechniken wie Syscall-Manipulation (FreshyCalls, RecycledGate), String-Verschleierung und Anti-Debugging.
• Professionelle Verpackung: Die ransomware wurde in ausgefeilten Dienstleistungspaketen vermarktet - von DLL-/Ausführungspaketen im Wert von 400 US-Dollar bis hin zu vollständigen Crypter-Paketen im Wert von 1.200 US-Dollar mit PHP-Konsolen und Tor-basierter C2-Infrastruktur.
• Kommerzielles Ausmaß: Trotz ihrer Abhängigkeit von der KI verbreiteten die Betreiber die malware in kriminellen Foren, wobei sie den Hinweis "nur für Forschungszwecke" anboten und aktiv an weniger erfahrene Cyberkriminelle verkauften.

Dieses Beispiel veranschaulicht, wie KI den Zugang zu anspruchsvoller Cyberkriminalität demokratisiert:

• Die Entwicklung komplexer malware ist nicht mehr auf hochqualifizierte Entwickler beschränkt - jeder, der die Absicht hat und Zugang zu KI hat, kann brauchbare ransomware erstellen.
• Die Hürden in Bezug auf Zeit, Ausbildung und Fachwissen wurden beseitigt, so dass der Markt für eine größere Anzahl böswilliger Akteure geöffnet wurde.
• Indem die Messlatte niedriger gelegt wird, erhöht KI den Umfang und die Vielfalt der ransomware , mit denen Unternehmen konfrontiert werden können, drastisch.

3. Cyberkriminelle binden KI in ihre Operationen ein

Der Anthropic-Bericht zeigt, dass Cyberkriminelle KI nicht nur für einzelne Aufgaben einsetzen, sondern sie in ihre täglichen Abläufe einbinden.

Einanschauliches Beispiel sind nordkoreanische Agenten, die sich als Softwareentwickler in westlichen Technologieunternehmen ausgeben. Bei diesem Plan spielte die KI in jeder Phase der Operation eine Rolle:

• Erstellung von Personas: Die Mitarbeiter nutzten die KI, um professionelle Lebensläufe zu erstellen, überzeugende technische Portfolios zu entwerfen und Karriereschilderungen zu entwerfen, die einer Überprüfung standhalten können.
• Bewerbung und Vorstellungsgespräch: KI hat Anschreiben auf Stellenausschreibungen zugeschnitten, Bediener auf technische Vorstellungsgespräche vorbereitet und sogar Echtzeitunterstützung bei Codierungsprüfungen geleistet.
• Aufrechterhaltung der Beschäftigung: Nach der Einstellung verließen sich die Mitarbeiter auf die KI, um Code zu liefern, auf Pull-Anfragen zu reagieren und mit den Teamkollegen in fließendem, professionellem Englisch zu kommunizieren - was sowohl technische als auch kulturelle Unterschiede überdeckte.
• Einkommensgenerierung: Da die KI ihnen die fehlenden Fähigkeiten vermittelte, konnten diese Agenten mehrere Jobs gleichzeitig ausüben und die Gehälter direkt in Nordkoreas Waffenprogramm einfließen lassen.

Das ist mehr als Betrug - es geht um KI als operatives Rückgrat:

• Technische Kompetenz ist nicht länger eine Voraussetzung für den Zugang zu hoch bezahlten Arbeitsplätzen in sensiblen Branchen.
• KI ermöglicht es böswilligen Insidern, langfristige Positionen aufrechtzuerhalten und so ein regelmäßiges Einkommen und geistiges Eigentum zu erzielen.
• Staatlich geförderte Gruppen können ihre Reichweite vergrößern, ohne Schulungsprogramme zu skalieren, denn KI ersetzt die jahrelange technische Ausbildung durch Echtzeit-Fertigkeiten, die auf Abruf zur Verfügung stehen.

4. KI wird in allen Phasen der Betrugsbekämpfung eingesetzt

Bei Betrug ging es schon immer um Größe, Geschwindigkeit und Täuschung - und KI verstärkt jetzt alle drei. Der Anthropic-Bericht zeigt, wie Kriminelle KI durchgängig in der gesamten Betrugsversorgungskette einsetzen und isolierte Betrügereien in widerstandsfähige, industrialisierte Ökosysteme verwandeln.

• Datenanalyse und Erstellung von Opferprofilen: Die Kriminellen nutzten KI, um umfangreiche Protokolldateien der Diebe zu analysieren, die Opfer nach ihrem Online-Verhalten zu kategorisieren und detaillierte Profile zu erstellen. Auf diese Weise werden gestohlene Rohdaten in verwertbare Informationen umgewandelt, die eine präzise Zielgruppenansprache ermöglichen.
• Entwicklung der Infrastruktur: Die Akteure bauten KI-gestützte Carding-Plattformen mit automatischer API-Umschaltung, Ausfallsicherungsmechanismen und intelligenter Drosselung, um eine Entdeckung zu vermeiden. Diese Plattformen wurden auf Unternehmensebene betrieben und validierten und verkauften gestohlene Kreditkarten in großem Umfang.
• Fälschung von Identitäten: KI wurde eingesetzt, um synthetische Identitäten mit plausiblen persönlichen Daten zu erstellen, die es Betrügern ermöglichen, Bank- und Kreditkontrollen mit geringem Aufwand zu umgehen.
• Emotionale Manipulation: Bei Liebesbetrügereien produzierten KI-generierte Chatbots fließende, emotional intelligente Antworten in mehreren Sprachen, die es Nicht-Muttersprachlern ermöglichten, ihre Opfer überzeugend und in großem Umfang anzusprechen.

KI hilft nicht mehr nur beim Betrug, sie inszeniert ihn auch:

• Kriminelle können jede Phase des Vorgangs automatisieren, vom Sammeln der Daten bis zu ihrer Verwertung.
• Betrugskampagnen werden skalierbarer, anpassungsfähiger und für die Opfer (oder Banken) schwieriger zu erkennen.
• Selbst wenig qualifizierte Akteure können Betrugsdienste einrichten, die wie professionelle Plattformen aussehen und wirken.

Die wachsende Sicherheitslücke

Dieser Bericht macht deutlich, dass Angreifer durch KI nicht nur schlauer, sondern auch schneller und ausweichender werden. Und diese Geschwindigkeit deckt die Lücken in den heutigen Sicherheitsplattformen auf.

1. Herkömmliche Tools können da nicht mithalten. Endpoint , MFA und E-Mail-Sicherheit werden umgangen, nicht durchbrochen. Angreifer nutzen KI, um diese Kontrollen zu umgehen - indem sie neue malware entwickeln, phishing generieren oder Mitarbeiter simulieren, die legitim aussehen.
2. Die Zeiträume werden verkürzt. Ein einziger Operator mit KI kann die Arbeit eines ganzen Teams erledigen - Aufklärung, Seitwärtsbewegung und Erpressung geschehen jetzt in Stunden statt in Wochen.
3. Komplexität ≠ Raffinesse ist kein Fremdwort mehr. KI ermöglicht es selbst unerfahrenen Akteuren, fortschrittliche ransomware zu generieren, synthetische Identitäten zu erstellen oder groß angelegte Betrugsversuche durchzuführen. Die Verbindung zwischen technischem Know-how und Angriffskomplexität ist aufgehoben.

Dies ist die Sicherheitslücke: Während Präventions-Tools bekannte Techniken abwehren, nutzen KI-gestützte Angreifer die blinden Flecken dazwischen aus. Und wenn SOC-Teams nicht die Verhaltensweisen erkennen können, die KI nicht maskieren kann - Privilegienerweiterung, anormaler Zugriff, seitliche Bewegungen, Datenbereitstellung - bleiben Kompromisse unentdeckt.

Mit Vectra AI die Lücke schließen

Für Unternehmensleiter ist die Schlussfolgerung einfach: Wenn Angreifer KI nutzen, um die Zahl der Angriffe zu erhöhen, braucht Ihr SOC KI, um Erkennung und Reaktion zu erhöhen. Genau hier liefert Vectra AI einen messbaren Wert.

• Erkennen Sie, was die Prävention übersehen hat. Egal, ob es sich um KI-generierte ransomware, betrügerische Mitarbeiter oder heimlichen Datendiebstahl handelt, Vectra AI konzentriert sich auf die Verhaltensweisen von Angreifern, die nicht verborgen werden können - Privilegieneskalation, Seitwärtsbewegungen und Datenexfiltration.
• Hybride Deckung. Angreifer bleiben nicht in einer Spur. Vectra AI überwacht Identitätssysteme, cloud , SaaS-Anwendungen und Netzwerkverkehr gemeinsam und schließt so die blinden Flecken zwischen einzelnen Tools.
• KI-gesteuerte Prioritätensetzung. So wie Angreifer die Automatisierung nutzen, um Angriffe zu beschleunigen, setzt Vectra KI ein, um die dringendsten Bedrohungen zu korrelieren, zu priorisieren und an die Oberfläche zu bringen, damit Ihr Team auf das reagiert, was zuerst wichtig ist.

Der geschäftliche Nutzen? Sie verringern das Risiko finanzieller Verluste, gesetzlicher Geldstrafen und Reputationsschäden - und geben Ihrem Sicherheitsteam gleichzeitig die Gewissheit, dass es Kompromisse selbst dann erkennen kann, wenn Angreifer KI zur Umgehung von Präventionsschichten einsetzen. > Lesen Sie den IDC-Bericht über den Geschäftswert von Vectra AI.

Möchten Sie sehen, wie Vectra AI AI Ihnen helfen kann, zu erkennen, was andere übersehen? Erkunden Sie unsere selbstgeführte Demo und erfahren Sie, wie wir die Sicherheitslücke schließen.