Content
01. News Bites
-
Orange gibt Cyberangriff bekannt und warnt vor Dienstunterbrechungen in ganz Frankreich
-
Pro-ukrainische Hacker stören den Betrieb von Aeroflot durch einen groß angelegten Cyberangriff
-
BlackSuit-Ransomware-Erpressungsseiten im Rahmen einer weltweiten Strafverfolgungsaktion beschlagnahmt
-
FBI beschlagnahmt über 2,3 Millionen Dollar in Bitcoin von einem Partner der Chaos-Ransomware
-
Zero-Day-Angriffe auf SharePoint treffen afrikanische Organisationen im Rahmen einer globalen Cyberkampagne
-
Minnesota aktiviert Nationalgarde nach Cyberangriff, der die Stadt St. Paul lahmlegt
02. Conclusion
Orange gibt Cyberangriff bekannt und warnt vor Dienstunterbrechungen in ganz Frankreich
Der Telekommunikationsriese Orange hat einen Cyberangriff auf eines seiner internen Systeme bestätigt, der zu Dienstunterbrechungen für Unternehmens- und Privatkunden in Frankreich geführt hat. Das Unternehmen, das mehr als 290 Millionen Kunden in Europa und Afrika bedient, hat den Angriff am vergangenen Freitag entdeckt.
Orange gibt zwar an, dass derzeit keine Hinweise auf einen Diebstahl von Kundendaten vorliegen, räumt jedoch ein, dass die Isolierung der betroffenen Systeme zu Ausfällen bei Verwaltungsplattformen und anderen Diensten geführt hat. Das Unternehmen hat eine formelle Beschwerde eingereicht und die Behörden informiert, lehnt es jedoch aus Sicherheitsgründen ab, weitere technische Details bekannt zu geben.
Der Vorfall folgt auf jüngste Warnungen der französischen Cyberagentur ANSSI, die auf einen Anstieg staatlich geförderter Spionage gegen die nationale Telekommunikationsinfrastruktur hingewiesen hat. Obwohl die Urheberschaft weiterhin unklar ist, unterstreicht der Vorfall bei Orange die anhaltenden Bedenken hinsichtlich der Anfälligkeit großer europäischer Kommunikationsnetze für komplexe Cyberbedrohungen.
Pro-ukrainische Hacker stören den Betrieb von Aeroflot durch einen groß angelegten Cyberangriff
Die russische Fluggesellschaft Aeroflot musste nach einem Cyberangriff, der Berichten zufolge von der pro-ukrainischen Hackergruppe Silent Crow mit Unterstützung der belarussischen Gruppe Cyberpartisans durchgeführt wurde, über 40 Flüge streichen und hatte mit erheblichen Verspätungen zu kämpfen. Die Hacker bekannten sich auf Telegram zu der Tat und erklärten, die „langwierige und groß angelegte Operation ... habe die IT-Systeme von Aeroflot vollständig zerstört” und drohten, die persönlichen Daten aller russischen Passagiere zu veröffentlichen.
Während der Kreml die Störung als „besorgniserregend” bezeichnete, bestätigte die russische Staatsanwaltschaft einen Systemausfall aufgrund des Angriffs und leitete eine strafrechtliche Untersuchung ein. Das Verkehrsministerium hat für die betroffenen Passagiere Ersatzflüge organisiert.
Obwohl Hackergruppen ihre Auswirkungen oft übertreiben, zeichnet sich dieser Angriff durch seine konkreten Folgen für ein großes russisches Unternehmen aus. Die Dienste von Aeroflot in Russland, Weißrussland und Armenien waren alle betroffen. Cyberpartisans beschrieb den Angriff als Teil ihrer anhaltenden Unterstützung für die Ukraine und behauptete, dass diese Maßnahme die Fluggesellschaft lahmgelegt habe.
Der Vorfall unterstreicht die zunehmende digitale Front im Konflikt zwischen Russland und der Ukraine.
BlackSuit-Ransomware-Erpressungsseiten im Rahmen einer weltweiten Strafverfolgungsaktion beschlagnahmt
Strafverfolgungsbehörden haben die Dark-Web-Erpressungsseiten der BlackSuit-Ransomware-Gruppe geschlossen, einer Bande, die für Angriffe auf Hunderte von Organisationen weltweit verantwortlich ist. Das US-Justizministerium bestätigte die Beschlagnahmung, die im Rahmen einer gemeinsamen internationalen Aktion namens „Operation Checkmate“ auf Grundlage eines gerichtlichen Beschlusses durchgeführt wurde.
Besucher der BlackSuit-.onion-Domains werden nun mit Beschlagnahmungsmitteilungen der US-Behörde Homeland Security Investigations konfrontiert, in denen die Schließung der Websites erklärt wird. Zu den beschlagnahmten Infrastrukturen gehören die Datenleck-Blogs und Verhandlungsportale von BlackSuit, die dazu dienten, Opfer zur Zahlung von Lösegeld zu zwingen.
Neben Europol beteiligten sich auch Behörden aus Großbritannien, den USA, Deutschland, den Niederlanden, der Ukraine und anderen Ländern an der Aktion. Das Cybersicherheitsunternehmen Bitdefender unterstützte die Operation ebenfalls und stellte über sein Draco-Team technische Beratung zur Verfügung.
Diese Zerschlagung unterstreicht den wachsenden Erfolg der internationalen öffentlich-privaten Zusammenarbeit bei der Bekämpfung von Ransomware-Gruppen, die unter dem Deckmantel des Dark Web operieren.
FBI beschlagnahmt über 2,3 Millionen Dollar in Bitcoin von einem Partner der Chaos-Ransomware
Das FBI in Dallas hat über 2,3 Millionen Dollar in Bitcoin aus einer Krypto-Wallet beschlagnahmt, die mit „Hors“ in Verbindung steht, einem mutmaßlichen Partner der umbenannten Chaos-Ransomware-Gruppe. Die 20,289 BTC wurden auf Angriffe auf texanische Unternehmen zurückgeführt und am 15. April 2025 beschlagnahmt. Am 24. Juli reichte das US-Justizministerium eine Zivilklage ein, um die Einziehung der Gelder zu erreichen, und verwies dabei auf Verbindungen zu Cyber-Erpressung.
Die neue Chaos-Operation gilt als Rebranding der BlackSuit-Ransomware, die wiederum mit der inzwischen aufgelösten Conti-Bande in Verbindung steht. Forscher von Cisco Talos stellten starke Überschneidungen zwischen Chaos und BlackSuit hinsichtlich der Verschlüsselungsmethoden und Tools fest.
Diese Entwicklung folgt auf die kürzliche Beschlagnahmung der Erpressungsseiten von BlackSuit, was auf eine umfassendere Untersuchung hindeutet. Obwohl das FBI nicht bestätigt hat, zu welcher Chaos-Variante „Hors” gehörte, glauben Experten, dass die Beschlagnahmung auf die umbenannte, mit Conti verbundene Gruppe abzielt. Die zivilrechtliche Einziehung ermöglicht die dauerhafte Beschlagnahmung von Vermögenswerten, die mit Straftaten in Verbindung stehen, einschließlich Lösegeldzahlungen.
Zero-Day-Angriffe auf SharePoint treffen afrikanische Organisationen im Rahmen einer globalen Cyberkampagne
Eine globale Zero-Day-Exploit-Kampagne, die auf Microsoft SharePoint Server abzielt, hat mehrere namhafte afrikanische Organisationen getroffen, wobei Südafrika am stärksten betroffen ist.
Das südafrikanische Finanzministerium bestätigte, dass seine SharePoint-basierte Infrastructure Reporting Model (IRM)-Plattform kompromittiert wurde, obwohl die Behörden dank schneller Erkennung und Isolierung keine Dienstunterbrechungen meldeten. Zu den weiteren betroffenen afrikanischen Einrichtungen zählen eine große Universität, ein Automobilhersteller, Regierungsbehörden und Bundesministerien.
Diese Angriffe nutzen ältere SharePoint-Funktionen aus und bleiben aufgrund der dateilosen Ausführung und Anti-Forensik-Techniken oft unentdeckt. Da viele afrikanische Organisationen für ihr Content-Management auf lokale Microsoft-Ökosysteme angewiesen sind, bleibt das Risiko hoch, insbesondere wenn Patches verspätet installiert werden.
Microsoft empfiehlt dringende Updates und eine stärkere Netzwerksegmentierung. Experten warnen, dass die wachsende digitale Infrastruktur der Region nach wie vor ein bevorzugtes Ziel für fortgeschrittene Angreifer ist, die ungepatchte Unternehmenssysteme ausnutzen.
Minnesota aktiviert Nationalgarde nach Cyberangriff, der die Stadt St. Paul lahmlegt
Der Gouverneur von Minnesota, Tim Walz, hat nach einem schweren Cyberangriff auf die Stadt Saint Paul, der seit Freitag zu weitreichenden Störungen der kommunalen Systeme geführt hat, die Nationalgarde aktiviert. Während die Notfalldienste nicht betroffen sind, wurden wichtige digitale Dienste – darunter Online-Zahlungen und einige Bibliotheks- und Freizeitzentrumsdienste – offline genommen.
Vertreter der Stadtverwaltung bestätigten in Zusammenarbeit mit Partnern auf Landes- und Bundesebene, dass der Angriff sowohl die internen IT-Ressourcen als auch die kommerziellen Cybersicherheitsanbieter überfordert hat. Infolgedessen wurde das Cyberabwehrteam der Nationalgarde von Minnesota eingesetzt, um die Wiederherstellungsmaßnahmen zu unterstützen und die Kontinuität der wesentlichen Dienste sicherzustellen.
Eine am Dienstag unterzeichnete Durchführungsverordnung erkennt das Ausmaß und die Komplexität des Angriffs an und betont die dringende Notwendigkeit einer verstärkten Cybersicherheit. Gouverneur Walz erklärte, die Nationalgarde werde mit den Behörden zusammenarbeiten, „um die Cybersicherheit so schnell wie möglich wiederherzustellen“ und langfristige Schäden zu begrenzen. Saint Paul, Heimat von über 311.000 Einwohnern, bleibt während der laufenden Ermittlungen einer erhöhten digitalen Bedrohung ausgesetzt.
Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.
Disclaimer
Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.