Das zeigt der aktuelle Sicherheitsreport für das erste Quartal 2026.
Die Zahl der sogenannten Loader-Angriffe ist im Vergleich zum Vorquartal um fast 100 Prozent gestiegen. Gleichzeitig missbrauchen Hacker vermehrt Kommunikationsplattformen wie Microsoft Teams und Google-Dienste, um Schadsoftware zu verbreiten. Die Angreifer setzen dabei auf eine perfide Taktik: Sie nutzen vertrauenswürdige Tools, die in Unternehmen ohnehin installiert sind, um unter dem Radar der Sicherheitssysteme zu fliegen.
Blitzschnelle Übernahmen
Anzeige: Hacker brauchen nur 21 Sekunden für die Systemübernahme – und nutzen legitime Tools wie Teams und Google. Der aktuelle Report zeigt, wie Sie mit 5 Sofortmaßnahmen, einem Tool-Whitepaper und einem Notfallplan Ihre Systeme schützen. Jetzt kostenlosen Report anfordern
Der ANY.RUN Cyber Risk Report für das erste Quartal 2026 basiert auf der Analyse von über 2,1 Millionen Untersuchungen. Die Ergebnisse sind alarmierend: Loader-basierte Attacken legten um 98,3 Prozent zu, der Diebstahl von Zugangsdaten stieg um 14,7 Prozent. Besonders besorgniserregend: Die Nutzung von Living-off-the-Land-Techniken (LOLBAS) mit JavaScript nahm um 58,4 Prozent zu.
Was bedeutet das konkret? Hacker benötigen heute nur noch 21 Sekunden, um sich nach einem ersten Einbruch dauerhaft in einem System festzusetzen. Die Ausführung von LOTL-Techniken – also der Einsatz vorinstallierter Systemwerkzeuge – beginnt bereits nach durchschnittlich 16 Sekunden. Wer einmal hereingekommen ist, der bleibt auch drin.
Teams und Google als Einfallstore
Ein besonders perfides Beispiel liefert die Nimbus RAT-Kampagne. Der Java-basierte Schädling wurde von Sicherheitsforschern bei eSentire und SOC Prime entdeckt. Die Angreifer nutzten Microsoft Teams für Voice-Phishing (Vishing) und kombinierten dies mit dem legitimen Windows-Tool Quick Assist. Innerhalb von weniger als 20 Minuten hatten sie bei einer betroffenen Anwaltskanzlei im April 2026 die komplette Kontrolle übernommen.
Die Schadsoftware kommuniziert über Google Drive und Google Sheets mit ihren Steuerungsservern. Zwischen Dezember 2025 und März 2026 identifizierten Analysten 1.540 verdächtige Interaktionen dieser Art in 172 verschiedenen Unternehmen. Ein Alarmsignal, das zeigt: Die Angreifer werden immer kreativer bei der Nutzung alltäglicher Dienste.
Gefährliche Pakete und falsche Helfer
Auch die Software-Lieferkette gerät zunehmend ins Visier. Im npm-Registry, einer zentralen Anlaufstelle für JavaScript-Entwickler, wurden die Kampagnen IronWorm und Miasma entdeckt. Sie kompromittierten mehr als 50 Softwarepakete. IronWorm, programmiert in der Sprache Rust, stiehlt 86 verschiedene Umgebungsvariablen – darunter Zugangsdaten zu AWS, Docker und OpenAI. Zur Kommunikation nutzt der Schädling das Tor-Netzwerk.
Parallel dazu haben Angreifer über 100 betrügerische Websites erstellt, die legitime Sicherheitstools imitieren. Die Seiten richten sich gezielt an IT-Sicherheitsexperten. Wer dort vermeintlich hilfreiche Programme herunterlädt, installiert sich stattdessen Schadsoftware. Ein hinterhältiger Angriff auf diejenigen, die eigentlich für die Sicherheit zuständig sind.
Ransomware mit System-Tricks
Anzeige: Ransomware löscht Schattenkopien – Ihre Backups sind wertlos, wenn Sie nicht schnell handeln. Der Report liefert einen Schritt-für-Schritt-Notfallplan und eine Checkliste, um sich gegen die neuesten LOLBAS- und Cloud-Malware-Angriffe zu wappnen. Notfallplan jetzt sichern
Die neu entdeckte Lalia-Ransomware zeigt, wie weit die Entwicklung fortgeschritten ist. Sie nutzt Windows Management Instrumentation (WMI), PowerShell und native APIs, um Dateien zu verschlüsseln. Gleichzeitig löscht sie Schattenkopien, um eine Wiederherstellung der Daten zu verhindern.
In anderen Kampagnen setzen Hacker auf WeTransfer-Links, um manipulierte Bilder zu versenden. Per PowerShell-Befehle, ausgeführt über WMI, laden sie dann weitere Schadsoftware aus der Cloudflare R2-Speicherinfrastruktur nach. Die Botschaft ist klar: Cloud-Dienste werden zunehmend zur Tarnung für kriminelle Aktivitäten genutzt.
Branchenexperten von OPSWAT planen für Ende Juni weitere Diskussionen zu diesem Thema. Im Fokus steht der zunehmende Missbrauch von SaaS-Plattformen, Cloud-Speichern und öffentlichen Blockchains für die Verbreitung von Malware.
