Italien blockiert mutmaßliche russische Cyberangriffe im Vorfeld der Olympischen Winterspiele

Die italienischen Behörden haben bestätigt, dass sie eine Reihe von Cyberangriffen vereitelt haben, die in den Tagen vor den Olympischen Winterspielen auf die Infrastruktur der Regierung und auf Websites im Zusammenhang mit den Olympischen Spielen gerichtet waren. Außenminister Antonio Tajani erklärte, die Angriffe seien russischen Ursprungs und umfassten Versuche, die Systeme des italienischen Außenministeriums, eine Botschaftsseite in Washington, D.C., sowie Online-Plattformen im Zusammenhang mit den Spielen und Hotels in Cortina d'Ampezzo zu stören.

Der Zeitpunkt ist besorgniserregend, da die Olympischen Winterspiele Ende dieser Woche beginnen und Russland aufgrund des andauernden Krieges in der Ukraine als Nation von den Wettkämpfen ausgeschlossen ist. Nur eine begrenzte Anzahl russischer Athleten darf unter neutraler Flagge an den Spielen teilnehmen.

Der Vorfall wirft auch ein Schlaglicht auf die wachsenden geopolitischen Spannungen im Bereich der Cybersicherheit. In den Vereinigten Staaten haben die jüngsten Äußerungen von Präsident Donald Trump, wonach Russland nicht als große Cyber-Bedrohung angesehen wird, Kritik von Experten hervorgerufen. Gleichzeitig haben US-Beamte weiterhin öffentlich vor Cyberrisiken aus China und dem Iran gewarnt, was die unterschiedlichen Wahrnehmungen von Bedrohungen zu einem für globale Ereignisse sensiblen Zeitpunkt unterstreicht.

Ransomware-Gruppen nutzen kritische VMware ESXi-Schwachstelle aus

Die CISA hat bestätigt, dass Ransomware-Gruppen aktiv die Sicherheitslücke CVE-2025-22225 in VMware ESXi ausnutzen, die es Angreifern ermöglicht, die Isolierung virtueller Maschinen zu umgehen und die Kontrolle über den zugrunde liegenden Hypervisor zu erlangen. Die Schwachstelle, die von Broadcom im März 2025 gepatcht wurde, wird mit einem CVSS-Score von 8,2 als wichtig eingestuft und ermöglicht beliebige Kernel-Schreibzugriffe durch den VMX-Prozess.

Die Schwachstelle wurde zusammen mit zwei anderen Zero-Days, CVE-2025-22224 und CVE-2025-22226, bekannt gegeben, die Angreifer miteinander koppeln, um einen vollständigen VM-Ausbruch zu erreichen. Die CISA hat CVE-2025-22225 in ihren Katalog der bekannten Sicherheitslücken aufgenommen und verlangt von den US-Bundesbehörden, dass sie unter BOD 22-01 Patches bereitstellen.

Jüngste Erkenntnisse bringen die Schwachstelle mit aktiven Ransomware-Kampagnen in Verbindung, die auf Unternehmenshypervisoren abzielen, oft nach einem anfänglichen Zugriff auf Admin-Ebene. Da Zehntausende von gefährdeten ESXi-Instanzen noch immer nicht gepatcht sind, werden Unternehmen dringend aufgefordert, umgehend Updates einzuspielen, administrative Rechte einzuschränken und auf Anzeichen einer Gefährdung zu achten, um das Risiko einer weit verbreiteten Verschlüsselung und eines Datendiebstahls zu verringern.

Inkognito-Betreiber eines Dark-Web-Drogenmarktes zu 30 Jahren Haft verurteilt

Ein Mann aus Taiwan wurde zu 30 Jahren Gefängnis verurteilt, weil er den Incognito Market, einen der weltweit größten Online-Marktplätze für Drogen, betrieben hat, über den weltweit illegale Drogenverkäufe im Wert von über 105 Millionen Dollar abgewickelt wurden. Rui-Siang Lin, 24, auch bekannt als Pharoah, bekannte sich nach seiner Verhaftung im Mai 2024 der Geldwäsche und mehrerer Drogenhandelsverschwörungen für schuldig.

Die US-Staatsanwaltschaft beschrieb Incognito Market als ein riesiges kriminelles Unternehmen mit mehr als 1.800 Verkäufern, über 400.000 Kundenkonten und Hunderttausenden von Transaktionen. Die Plattform ermöglichte den Verkauf von mehr als einer Tonne Betäubungsmittel, darunter Methamphetamin, Kokain, Amphetamine und MDMA, wobei einige Substanzen mit Fentanyl versetzt waren.

Richterin Colleen McMahon bezeichnete den Fall als den schwersten Drogenfall, mit dem sie seit fast drei Jahrzehnten zu tun hatte, und beschrieb die Operation als ein Geschäft, das Lin zu einem globalen Drogenboss machte. Die Strafverfolgungsbehörden zerschlugen schließlich den Marktplatz, indem sie wichtige Server beschlagnahmten, die für Transaktionen, DDoS-Schutz und Kryptowährungszahlungen verwendet wurden, und beendeten die Operation im März 2024.

KI-gesteuertes Phishing nimmt in noch nie dagewesenem Ausmaß zu

Die Phishing-Aktivitäten haben im Jahr 2025 stark zugenommen, wobei Sicherheitsfilter alle 19 Sekunden eine bösartige E-Mail blockieren, mehr als doppelt so viel wie im Vorjahr, so die Forscher. Dieser Anstieg ist darauf zurückzuführen, dass Bedrohungsakteure künstliche Intelligenz direkt in ihre Phishing-Aktivitäten einbinden, so dass Kampagnen in großem Umfang erstellt, angepasst und eingesetzt werden können.

Die neuesten Untersuchungen zeigen, dass die Angreifer KI einsetzen, um nahezu fehlerfreie E-Mails in lokalen Sprachen zu erstellen und hochgradig personalisierte, polymorphe Kampagnen durchzuführen, die ihr Erscheinungsbild ständig ändern. Drei Viertel der Phishing-URLs waren einzigartig, was den Angreifern hilft, die herkömmliche Erkennung zu umgehen. Bemerkenswert ist, dass 18 Prozent der Phishing-E-Mails keine Links oder Anhänge enthielten, was die anhaltende Zunahme der Kompromittierung von Geschäfts-E-Mails verdeutlicht.

Der Bericht verzeichnete auch einen 105-prozentigen Anstieg bei der Verwendung von Remote-Access-Tools und einen 204-prozentigen Anstieg bei Phishing-E-Mails, die Malware enthalten. Angesichts der Tatsache, dass Angreifer legitime Software missbrauchen und sich die Infrastruktur schnell verändert, warnen die Forscher, dass die Analyse nach der Zustellung und die Überprüfung durch den Menschen nun von entscheidender Bedeutung sind, um Bedrohungen zu erkennen, die die perimeterbasierten Verteidigungsmaßnahmen umgehen.

SQL-Injection-Fehler betrifft Tausende von WordPress-Websites

Mehr als 40.000 WordPress-Websites sind nach der Entdeckung einer SQL-Injection-Schwachstelle im beliebten Plugin Quiz and Survey Master einem Risiko ausgesetzt. Die Schwachstelle betrifft die Versionen 10.3.1 und früher und kann von jedem authentifizierten Benutzer mit Zugriff auf Abonnentenebene oder höher ausgenutzt werden, wodurch sich die potenzielle Angriffsfläche erheblich vergrößert.

Das Problem ergab sich aus einer REST-API-Funktion, die zum Abrufen von Quizfragedaten verwendet wurde. Ein Anforderungsparameter, nämlich die Verknüpfung, wurde fälschlicherweise als numerisch angenommen und direkt in eine Datenbankabfrage ohne ordnungsgemäße Validierung oder Bereinigung eingefügt. Dies ermöglichte es einem böswilligen Benutzer, zusätzliche SQL-Befehle einzuschleusen und so möglicherweise unbefugten Zugriff auf die Datenbanken der Website zu erhalten.

Die Schwachstelle, die als CVE-2025-67987 verfolgt wird, wurde verantwortungsbewusst offengelegt und ist nun in Version 10.3.2 des Plugins behoben worden. Der Patch erzwingt eine strikte Integer-Behandlung des betroffenen Parameters, wodurch böswillige Eingaben verhindert werden. Auch wenn es keine Hinweise auf eine aktive Ausnutzung gibt, zeigt der Vorfall, wie groß das Risiko bei weit verbreiteten Plugins ist und wie wichtig rechtzeitige Patches und sichere Kodierungsverfahren sind.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.