Content
01. News Bites
-
Großbritannien plant Ransomware-Zahlungsverbot für den öffentlichen Sektor
-
SharePoint-Zero-Day-Lücke trifft mehr als 400 Organisationen
-
Einbruch in das Netzwerk der US-Atomaufsichtsbehörde zeigt die zunehmenden Auswirkungen von SharePoint-Zero-Day-Angriffen
-
APT41 nimmt afrikanische IT-Firma ins Visier und weitet Cyberspionage aus
-
Schweizer Gesundheitsdienstleister AMEOS von Datenpanne betroffen
02. Conclusion
Großbritannien plant Ransomware-Zahlungsverbot für den öffentlichen Sektor
Die britische Regierung will Organisationen des öffentlichen Sektors und kritischer Infrastrukturen die Zahlung von Lösegeld nach Cyberangriffen verbieten, um das Geschäftsmodell zu stören, das hinter Ransomware steckt. Die vorgeschlagene Regelung würde für Schulen, Kommunalverwaltungen und den NHS gelten. Sicherheitsminister Dan Jarvis erklärte, das Vereinigte Königreich sei „entschlossen, das Geschäftsmodell der Cyberkriminellen zu zerschlagen“ und wichtige Dienste zu schützen.
Unternehmen, die nicht unter das Verbot fallen, müssen die Behörden benachrichtigen, wenn sie zu zahlen beabsichtigen, und sich beraten lassen, damit sie nicht gegen Sanktionen verstoßen. Außerdem ist ein obligatorisches Meldesystem in Vorbereitung, das den Strafverfolgungsbehörden helfen soll, Angreifer aufzuspüren. Der Schritt folgt auf eine Konsultation im Januar und erfolgt vor dem Hintergrund zunehmender Ransomware-Bedrohungen, die in Großbritannien als größtes Risiko für Cyberkriminalität gelten. Zu den prominenten Opfern gehören der britische Gesundheitsdienst NHS, die British Library und kürzlich Marks & Spencer, das im April Opfer eines Angriffs der DragonForce-Bande wurde. Die Co-op und Harrods haben ebenfalls Vorfälle gemeldet, was die anhaltende und sich weiterentwickelnde Bedrohung für britische Unternehmen unterstreicht.
SharePoint-Zero-Day-Lücke trifft mehr als 400 Organisationen
Sicherheitsforscher haben aufgedeckt, dass mehr als 400 Organisationen durch eine Zero-Day-Schwachstelle in Microsoft SharePoint angegriffen wurden, was eine erhebliche Eskalation darstellt, seit der Fehler letzte Woche erstmals gemeldet wurde. Der Fehler mit der Bezeichnung CVE-2025-53770 betrifft selbst gehostete SharePoint-Server und ermöglicht die Ausführung von Remote-Code, wodurch Angreifer Zugriff auf interne Dateien und größere Netzwerke erhalten.
Das niederländische Unternehmen Eye Security, das die Schwachstelle entdeckt hat, berichtet, dass bei Scans Hunderte von kompromittierten Systemen gefunden wurden, während es zu Beginn der Woche nur Dutzende waren.
Die Forscher gehen davon aus, dass die Sicherheitslücke seit dem 7. Juli ausgenutzt wurde. Sowohl Microsoft als auch Google haben die Angriffe mit von China unterstützten Bedrohungsakteuren in Verbindung gebracht, obwohl Peking eine Beteiligung bestritten hat. Da immer noch Tausende von Servern potenziell gefährdet sind, warnen Experten, dass Patches allein möglicherweise nicht ausreichen - eine vollständige Überprüfung der Systeme wird dringend empfohlen.
Weitere Informationen finden Sie in unserem Threat Advisory - https://insights.integrity360.com/de/threat-advisories/kritische-schwachstelle-in-sharepoint-cve-2025-53770-anleitung-abhilfe
Einbruch in das Netzwerk der US-Atomaufsichtsbehörde zeigt die zunehmenden Auswirkungen von SharePoint-Zero-Day-Angriffen
Das Netzwerk der US-amerikanischen National Nuclear Security Administration (NNSA), das eine kürzlich gepatchte Microsoft SharePoint-Zero-Day-Lücke ausnutzt. Die NNSA, die für den Schutz der Atomwaffen des Landes und die Reaktion auf radiologische Notfälle zuständig ist, war eine von mehreren Organisationen, die im Rahmen der laufenden globalen Spionagekampagne kompromittiert wurden.
Ein Sprecher des Energieministeriums bestätigte die Sicherheitslücke und erklärte, die Auswirkungen seien aufgrund der weit verbreiteten Nutzung von Microsoft 365 Cloud-Diensten begrenzt. Die betroffenen Systeme werden derzeit wiederhergestellt, wobei es keine Anzeichen für einen Diebstahl von Geheimdaten gibt.
Die breit angelegte Angriffskampagne, die unter der ToolShell-Exploit-Kette (CVE-2025-53770) verfolgt wird, hat inzwischen mindestens 148 Organisationen betroffen und über 400 Server infiziert, darunter auch Ziele in Europa und im Nahen Osten. Microsoft und Google haben die Kampagne mehreren von China unterstützten Bedrohungsgruppen zugeschrieben. Das US-Gesetz CISA hat die dringende Installation von Patches für alle staatlichen Systeme angeordnet. Die Situation entwickelt sich weiter, da weltweit weitere Angriffe aufgedeckt werden.
APT41 nimmt afrikanische IT-Firma ins Visier und weitet Cyberspionage aus
Die mit China verbundene Cyberspionagegruppe APT41 hat einen sehr gezielten Angriff auf einen staatlichen IT-Dienstleister in Afrika gestartet und damit einen seltenen Schritt über ihren üblichen Fokus auf die USA und Asien hinaus getan. Kaspersky-Forscher entdeckten den Angriff und stellten fest, dass die Angreifer maßgeschneiderte Malware mit fest einprogrammierten Details zur internen Infrastruktur - einschließlich der IP-Adressen der Opfer und Proxy-Dienste - einsetzten und sogar einen SharePoint-Server im Netzwerk des Zielunternehmens gekapert hatten, um als Kommandozentrale zu dienen.
Der Angriff nutzte bekannte APT41-Taktiken: Abfangen von Anmeldeinformationen mit Mimikatz, heimliche Datenexfiltration mit Tools wie RawCopy und Pillager sowie dauerhafter Zugriff mit Cobalt Strike und Neo-reGeorg Web Shells. Die Verwendung legitimer Tools wie Impacket zur Aufklärung erschwerte die Entdeckung zusätzlich.
APT41, auch bekannt als Wicked Panda oder Brass Typhoon, ist seit mindestens 2012 aktiv und dafür bekannt, staatlich geförderte Spionage mit finanziell motivierter Cyberkriminalität zu kombinieren. Der Angriff unterstreicht sowohl die sich weiterentwickelnden Taktiken der Gruppe als auch das steigende Cyberkriminalitätsrisiko in Afrika.
Schweizer Gesundheitsdienstleister AMEOS von Datenpanne betroffen
Die AMEOS-Gruppe, eines der größten privaten Gesundheitsnetzwerke in Mitteleuropa, hat eine Datenpanne bestätigt, durch die möglicherweise sensible Informationen von Patienten, Mitarbeitern und Partnern offengelegt wurden. Das in Zürich ansässige Unternehmen betreibt über 100 Krankenhäuser, Kliniken und Pflegezentren in der Schweiz, Deutschland und Österreich und beschäftigt rund 18.000 Mitarbeiter.
In einer Erklärung gemäß Artikel 34 der Datenschutz-Grundverordnung (DSGVO) erklärte AMEOS, dass sich Angreifer trotz umfangreicher Sicherheitsmaßnahmen unbefugten Zugang zu seinen IT-Systemen verschafft haben. Die Gruppe warnte, dass die gestohlenen Daten missbraucht oder online weitergegeben werden könnten, obwohl es derzeit keine Beweise für deren Veröffentlichung gibt.
Als Reaktion darauf schaltete AMEOS alle IT-Systeme und Netzwerkverbindungen ab und beauftragte externe forensische Experten mit der Untersuchung. Die Behörden wurden benachrichtigt, und es wurde eine Strafanzeige erstattet.
Patienten und Interessenvertreter werden dringend gebeten, sich vor Phishing- und Betrugsversuchen in Acht zu nehmen. Die AMEOS prüft weiterhin die Auswirkungen und hat sich verpflichtet, ihre Cybersicherheitsmaßnahmen zu verstärken.
Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.
Disclaimer
Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.