Microsoft identifiziert Medusa Ransomware als Mitglied von Zero-Day-Angriffen

Microsoft hatStorm-1175, eine in Chinaansässige, finanziell motivierte Cyberkriminelle Gruppe, als den Akteuridentifiziert, der hinter einer Reihe von schnellvoranschreitendenAngriffen steht, bei denen Medusa Ransomware eingesetzt wird. Die Gruppe ist dafür bekannt, dass sie sowohlZero-Day-als auch kürzlich bekannt gewordene (n-Day-)Schwachstellen mit hoher Geschwindigkeit ausnutzt, um sich zunächst Zugang zu den Netzwerken der Opfer zu verschaffen.

Storm-1175geht schnell von der anfänglichen Kompromittierung zur Datenexfiltration und zum Einsatz von Ransomware über und schließt manchmal die gesamte Angriffskette in weniger als 24 Stunden ab. Ihr operatives Tempo wird als "Hochgeschwindigkeit"beschrieben , wobei die Gruppe häufig Schwachstellen innerhalb eines Tages nach deren Aufdeckung ausnutzt und in einigen Fällen bis zu einer Woche, bevor Patches verfügbar sind.

Die Gruppe hat es auf Unternehmen in den Bereichen Gesundheitswesen, Bildung, professionelle Dienstleistungen und Finanzen in Australien, Großbritannien und den Vereinigten Staaten abgesehen. In ihren Kampagnen wurden mehr als 16 Schwachstellen in weit verbreiteten Unternehmensprodukten wie Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, SmarterMail und BeyondTrust ausgenutzt. Zu den bemerkenswerten ausgenutztenZero-DaysgehörenCVE-2025-10035(GoAnywhere MFT),CVE-2026-23760(SmarterMail) und CVE-2026-1731 (BeyondTrust).

Dies macht deutlich, dass selbst Unternehmen mit ausgereiften Patching-Programmen anfällig sind, was das Risiko vergrößert und Abwehrstrategien erschwert. Bedrohungsakteure nutzen Zero-Day-Schwachstellen aus, bevor es Patches gibt.

Cloud-Hack der Europäischen Kommission, von dem 30 EU-Einrichtungen betroffen sind

Der Cybersicherheitsdienst der Europäischen Union (CERT-EU) hat bestätigt, dassdie AWS-Cloud-UmgebungderEuropäischen Kommissionvon der Bedrohungsgruppe TeamPCP angegriffen wurde, wodurch sensible Daten der Kommission und mindestens 29 anderer EU-Einrichtungen offengelegt wurden.

Das Eindringen begann am 10. März, als die Angreifer einen kompromittierten AWS-API-Schlüssel mitBerechtigungenaufVerwaltungsebeneverwendeten, der bei derKompromittierung derLieferkettevon Trivy gestohlenwurde, um aufdie Cloud-SystemederKommission zuzugreifen. Dort angekommen, nutzten die Angreifer TruffleHog, um nach weiteren Geheimnissen zu suchen, erstellten einen neuen Zugangsschlüssel, um der Entdeckung zu entgehen, und fuhren mit der internen Erkundung und dem Datendiebstahl fort.

Am 28. März veröffentlichte die Erpressergruppe ShinyHunters ein 90 GB großes komprimiertes Archiv (ca. 340 GB unkomprimiert) im Dark Web, das folgende Daten enthält: Namen, E-Mail-Adressen, E-Mail-Inhalte, Zehntausende von Dateien mit persönlichen und organisatorischen Daten. Von den exfiltrierten Daten sind bis zu 71 Kunden des EU-Webhostingdienstes Europa betroffen: 42 interne Kunden der Europäischen Kommission und mindestens 29 andere Einrichtungen der Union.

TeamPCP steht in Verbindung mit umfassenderenAngriffen auf dieVersorgungskettevon GitHub, PyPI, NPM und Docker-Ökosystemen. Zuvor hatten sie das PyPI-Paket LiteLLM kompromittiert und ihre TeamPCP-Cloud-Stealer-Malware auf Zehntausenden von betroffenen Systemen eingesetzt.

Dieser Vorfall folgt einer Reihe von Ereignissen, wie oben erwähnt, die mit einem umfassenderen Angriff auf die Lieferkette verbunden sind und zeigen, wie kompromittierte^{Drittanbieter-} oder Open-Source-Tools direkt zu Sicherheitsverletzungen auf institutioneller Ebene führen können. Darüber hinaus birgt die öffentliche Veröffentlichung dieses Datensatzes langfristige Risiken wie Phishing, Missbrauch von Zugangsdaten und das Sammeln von Informationen durch feindliche Akteure.

Nordkoreanische Hacker verbreiten mehr als 1.700 bösartige Open-Source-Pakete

Eine mit Nordkorea verbundene Cyber-Kampagne mit dem Namen "Contagious Interview" hat ihreAktivitäten inderSoftware-Lieferketteerheblich ausgeweitet, indem sie mehr als 1.700 bösartige Pakete über mehrereOpen-Source-Ökosysteme, darunter npm, PyPI, Go, Rust und Packagist, verteilt hat. Diese Pakete waren so gestaltet, dass sie sich als legitime Entwickler-Tools ausgaben und es Angreifern ermöglichten, über vertrauenswürdige Kanäle in Entwicklungsumgebungen einzudringen. Die Forscher stellten fest, dass die Angreifer in diese Pakete Malware-Loader einbetteten, mit denen sieplattformspezifischeNutzdatenderzweitenStufefür Spionagezwecke und finanzielle Gewinneübermittelnkonnten.

Die bösartigen Nutzlasten, die über diese Pakete verbreitet werden, besitzen eine Reihe gefährlicher Fähigkeiten. Viele fungieren als Infostealer und sammeln Browserdaten, Passwörter und Informationen zu Kryptowährungs-Wallets. Einige Varianten, insbesondere die über das PyPI-Paketlicense-utils-kitbereitgestellten, fungieren als vollständigePost-Compromise-Implantate, die die Ausführung von Remote-Befehlen, Keylogging, Datenexfiltration, Browsermanipulation, Dateiuploads und die Installation vonRemote-Access-Tools wie AnyDeskermöglichen.

Was diese Kampagne besonders heimlich macht, ist die Technik der Angreifer, schädlichen Code in normalaussehendeFunktioneneinzubetten, die Entwickler routinemäßig verwenden könnten. Im Gegensatz zu herkömmlichen Schadpaketen, die den schädlichen Code sofort nach der Installation ausführen, verstecken diese Pakete die Logik in legitimen Funktionen

Die vollständige Liste der identifizierten Pakete lautet wie folgt -

• npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
• Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
• Rust: logtrace
• Packagist: golangorg/logkit

Die Entdeckung von mehr als 1.700 bösartigen Paketen seit Anfang 2025 zeigt, dass es sich um eine hochgradig koordinierte undgut ausgestatteteBedrohungderLieferkettehandelt, die darauf abzielt, Entwickler in großem Umfang zu gefährden. Indem sie auf weit verbreitete Entwickler-Ökosysteme abzielen, versuchen die nordkoreanischen Betreiber, Organisationen in den frühesten Stadien des Software-Lebenszyklus zu infiltrieren, um sowohl Spionage als auch finanziellen Diebstahl zu ermöglichen.

BKA identifiziert böse Drahtzieher hinter 130 deutschen Ransomware-Angriffen

Das deutsche Bundeskriminalamt (BKA) hat zwei wichtige Mitglieder der inzwischenaufgelöstenRansomware-as-a-Service-GruppeREvil (Sodinokibi) identifiziert und entlarvt, die mit 130 Ransomware-Angriffen in Deutschland zwischen 2019 und 2021 in Verbindung gebracht werden. Der erste, der zuvor unter dem Alias UNKN bekannt war, wurde als Daniil Maksimovich Shchukin enttarnt, ein31-jährigerrussischer Staatsbürger, der auch mehrere Online-Namen wie Oneiilk2, Oneillk2, Oneillk22 und GandCrab verwendete. Shchukin diente als Repräsentant der Operation, warb in Internetforen für REvil und half bei der Anwerbung von Mitgliedern. Die zweite Person, Anatoly Sergeevitsch Kravchuk, soll in dieser Zeit einer der Entwickler von REvil gewesen sein.

Nach Angaben des BKA führten die Aktivitäten der beiden Verdächtigen in 25 bestätigten Fällen zu Lösegeldzahlungen in Höhe von 1,9 Millionen Euro, während sich der Gesamtschaden der 130 Angriffe auf über 35,4 Millionen Euro belief, wobei Betriebsunterbrechungen, Datenverluste und Wiederherstellungskosten berücksichtigt wurden. REvil, eine Weiterentwicklung der Ransomware GandCrab, gehörte zu den produktivsten Ransomware-Operationen und war für große globale Vorfälle verantwortlich, bevor sie im Juli 2021 abrupt verschwand. Die Gruppe tauchte kurzzeitig wieder auf, brach aber schließlich nach internationalenStrafverfolgungsmaßnahmenzusammen.

Rumänien hatte zuvor zwei Mitglieder verhaftet, und der russische FSB berichtete im Januar 2022, dass er mehrere REvil-Mitglieder verhaftet und Teile der Gruppe zerschlagen habe. Im Oktober 2024 wurden nach Angaben russischer Medien vier REvil-Mitglieder zu Haftstrafen verurteilt.

Qilin & Warlock Ransomware-Operationen: BYOVD-basierte EDR-Kill-Chain

Die Bedrohungsakteure, die hinter den Ransomware-Operationen Qilin und Warlock stehen, haben eine hochentwickelte Umgehungstechnik eingesetzt, die als Bring Your Own Vulnerable Driver (BYOVD) bekannt ist, um Sicherheitstools auf infizierten Systemen zu deaktivieren. Nach Untersuchungen von Cisco Talos und Trend Micro verwenden beide Gruppen signierte, aber anfälligeKernel-Mode-Treiber, um moderne EDR-Schutzmechanismen (Endpoint Detection and Response) zu umgehen und so mehr als 300 verschiedene EDR-Treiber der großen Hersteller zu deaktivieren. Diese Technik ermöglicht es den Betreibern von Ransomware, sich auf niedrigerEbeneZugriff auf das System zuverschaffenund Verteidigungsschichten zu demontieren, bevor sie ihre Nutzdaten bereitstellen, was die Erkennung und Prävention erheblich erschwert.

Im Fall von Qilin beginnt der Angriff mit einer bösartigen DLL namens msimg32.dll, die perDLL-Side-Loadingbereitgestellt wirdund einenmehrstufigenLaderauslöst, der heimlich im Speicher läuft. Dieser Lader neutralisiertHooksimBenutzermodus, unterdrückt die Windows-Ereignisprotokollierung und verschleiert API-Aufrufe, um eine Entdeckung zu vermeiden. Nach der Ausführung lädt die Malware zwei anfällige Treiber: rwdrv.sys, eine umbenannte Version von ThrottleStop.sys, die den Zugriff auf den physischen Speicher ermöglicht, und hlpdrv.sys, die EDR-Prozesse beendet. Diese Treiber , die auch schon bei den Ransomware-Vorfällen Akira und Makop beobachtet wurden, werden verwendet, um den Weg für die endgültige Bereitstellung der Ransomware freizumachen, indem Sicherheitskomponenten auf der Kernel-Ebene deaktiviert werden.

Warlock (auch bekannt als Water Manaul) verwendet einen ähnlichen Ansatz, allerdings mit einem eigenenTreiberaufKernel-Ebene, NSecKrnl.sys, der Schwachstellen ausnutzt, um Sicherheitstools zu deaktivieren, bevor die Ransomware über ein Netzwerk verteilt wird. Warlock dringt in der Regel in Unternehmen ein, indem es ungepatchte Microsoft SharePoint-Server ausnutzt und sich bis zu 15 Tage lang in den Umgebungen der Opfer aufhält, um diese zu erkunden, Daten zu exfiltrieren und sich für maximalen Schaden zu positionieren.

Insgesamt signalisiert die weit verbreitete Übernahme von BYOVD durch mehrere Ransomware-Gruppen, insbesondere Qilin und Warlock, einen entscheidenden Wandel in der Bedrohungslandschaft.EDR-UmgehungstechnikenaufKernel-Ebene, die früher als fortschrittlich galten, sind heute im gesamten Ransomware-Ökosystem gang und gäbe. Unternehmen, die sich auf EDR-Tools verlassen, sind zunehmend verwundbar, es sei denn, sie implementieren eine strengeAuflistungder zulässigen Treiber,hardwarebasierteSchutzmaßnahmen wie HVCI und schnelle Patches für anfälligeDrittanbieter-Treiber.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.