Irischer Health Service Executive bietet 750 € Entschädigung für Opfer des Cyberangriffs von 2021

Vier Jahre nach dem Conti-Ransomware-Angriff, der das irische Gesundheitssystem lahmlegte, hat der HSE begonnen, betroffenen Personen 750 € Entschädigung sowie 650 € für Rechtskosten anzubieten. Die Kanzlei O’Dowd Solicitors aus Cork, die über 100 Betroffene vertritt, bestätigte die ersten Angebote und bezeichnete sie als einen wichtigen Schritt, der das Verantwortungsbewusstsein des HSE gegenüber den Opfern zeigt.
Der Angriff von 2021 bleibt der weltweit schwerste Cyberangriff auf ein Gesundheitssystem und kompromittierte die Daten von fast 100.000 Patienten und Mitarbeitenden. Laut HSE laufen derzeit mehr als 620 Gerichtsverfahren, und die Organisation habe seit dem Angriff erheblich in ihre Cyber-Security-Fähigkeiten investiert.

Microsoft behebt 57 Schwachstellen, darunter drei Zero-Days, im Patch Tuesday Dezember 2025

Der letzte Patch Tuesday des Jahres bringt Korrekturen für 57 Sicherheitslücken, darunter eine aktiv ausgenutzte und zwei öffentlich bekannt gewordene Zero-Day-Schwachstellen. Drei der Lücken gelten wegen des Risikos für Remote-Code-Ausführung als kritisch.
Am dringlichsten ist die Behebung von CVE-2025-62221, einer Schwachstelle zur Rechteausweitung im Windows Cloud Files Mini Filter Driver, die Angreifern SYSTEM-Rechte verschaffen kann. Ebenfalls geschlossen wurden CVE-2025-64671, eine Command-Injection-Schwachstelle in GitHub Copilot für JetBrains, sowie CVE-2025-54100, eine PowerShell-Lücke, die unerwünschte Skriptausführung über Invoke-WebRequest ermöglicht.
Auch Adobe, Fortinet, Google, Ivanti, React und SAP veröffentlichten im Dezember sicherheitsrelevante Updates.

Spanische Polizei verhaftet 19-Jährigen wegen Diebstahls von 64 Millionen personenbezogenen Datensätzen

Die spanische Nationalpolizei hat in Barcelona einen 19-Jährigen festgenommen, der verdächtigt wird, in neun Unternehmen eingedrungen zu sein und 64 Millionen personenbezogene Datensätze gestohlen zu haben, die er anschließend auf Hackerforen verkaufen wollte. Der Verdächtige wurde in Igualada lokalisiert; Computer und Kryptowallets wurden beschlagnahmt.
Zu den gestohlenen Daten gehörten Namen, Adressen, E-Mails, Telefonnummern, DNI-Nummern und IBAN-Codes. In einem separaten Fall verhaftete die ukrainische Cyberpolizei einen 22-Jährigen, der Malware zur automatischen Kontoübernahme entwickelte und eine Botfarm mit 5.000 Profilen betrieb.

Fortinet, Ivanti und SAP veröffentlichen dringende Patches für kritische Schwachstellen

Fortinet hat CVE-2025-59718 und CVE-2025-59719 (CVSS 9.8) behoben, die es nicht authentifizierten Angreifern ermöglichen, den FortiCloud-SSO-Login über manipulierte SAML-Nachrichten zu umgehen.
Ivanti schloss eine kritische Stored-XSS-Schwachstelle (CVE-2025-10573) in Endpoint Manager, die die Ausführung schädlicher JavaScript-Befehle im Admin-Dashboard erlaubt.
SAP veröffentlichte Patches für 14 Schwachstellen, darunter drei kritische, einschließlich einer Code-Injection-Lücke (CVSS 9.9) in SAP Solution Manager. Organisationen sollten die Patches so schnell wie möglich anwenden.

Ransomware-Angriffe auf Hypervisoren steigen stark an, angeführt von der Akira-Gruppe

Huntress meldet einen deutlichen Anstieg von Ransomware-Angriffen auf Hypervisoren: von 3 Prozent in der ersten Jahreshälfte auf 25 Prozent in der zweiten. Angreifer zielen zunehmend auf Hypervisoren ab, da diese die Kontrolle über alle virtuellen Maschinen ermöglichen.
In mehreren Fällen wurde Ransomware direkt über den Hypervisor ausgeführt – komplett an Endpoint-Schutzmaßnahmen vorbei. Zudem wurden gestohlene Zugangsdaten genutzt, um Hyper-V-Einstellungen zu manipulieren, Schutzmechanismen zu deaktivieren und groß angelegte Angriffe vorzubereiten. Empfohlen werden MFA, zeitnahes Patchen, Allow-Listing von Binaries und bessere Überwachung der Hypervisor-Logs.

Nordkoreanische Akteure verdächtigt, fortgeschrittene React2Shell-Exploits durchzuführen

Sysdig vermutet, dass nordkoreanische Bedrohungsakteure hinter einigen der ausgefeiltesten Angriffe auf React2Shell (CVE-2025-55182) stehen könnten – eine Schwachstelle, die Remote-Code-Ausführung in React 19 und verwandten Frameworks ermöglicht. Rund 70.000 Systeme sollen verwundbar sein, und die Ausnutzung begann nahezu unmittelbar nach der Offenlegung.
Untersucht wurden Angriffe mit EtherRAT, einem Implantat, das Ethereum-Smart-Contracts für C2 nutzt und mehrere Persistenzmechanismen für Linux kombiniert. Der verschlüsselte Loader ähnelt Malware, die in nordkoreanischen Kampagnen wie Contagious Interview eingesetzt wurde. Die Angreifer laden zudem Node.js direkt von der offiziellen Seite herunter, was das Erkennungsrisiko senkt.
Die Attribution ist noch nicht endgültig, doch vieles deutet auf die Lazarus-Gruppe oder einen verwandten Akteur hin, der React2Shell als neuen Angriffsvektor nutzt.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.