Europäische Weltraumorganisation bestätigt Kompromittierung externer Server

Die Europäische Weltraumorganisation (ESA) hat einen Cyber-Sicherheitsvorfall bestätigt, der Server außerhalb ihres internen Unternehmensnetzwerks betraf. Zuvor hatte ein Bedrohungsakteur im Hacker-Forum BreachForums behauptet, rund eine Woche lang Zugriff auf ESA-Systeme gehabt zu haben, und Screenshots veröffentlicht, die Einblicke in JIRA- und Bitbucket-Umgebungen nahelegen.
In einer Erklärung teilte die ESA mit, dass die betroffenen Server nicht klassifizierte kollaborative Ingenieursaktivitäten innerhalb der wissenschaftlichen Gemeinschaft unterstützten und nur eine sehr geringe Anzahl externer Systeme betroffen sei. Derzeit läuft eine forensische Sicherheitsanalyse, zudem wurden Maßnahmen ergriffen, um potenziell betroffene Geräte abzusichern. Die ESA ergänzte, dass alle relevanten Stakeholder informiert wurden und weitere Updates im Verlauf der Untersuchung folgen.
Während die ESA keinen Datendiebstahl bestätigt hat, behauptet der Bedrohungsakteur, mehr als 200 GB an Daten exfiltriert zu haben, darunter private Bitbucket-Repositories. Der Vorfall folgt auf eine frühere Kompromittierung Ende 2024, bei der der offizielle Webshop der ESA mittels Schadcode angegriffen wurde, um Kunden- und Zahlungsdaten zu stehlen.

Ehemalige Incident-Response-Mitarbeiter bekennen sich zu BlackCat-Ransomware-Angriffen schuldig

Zwei ehemalige Mitarbeiter der Cyber-Security-Incident-Response-Unternehmen Sygnia und DigitalMint haben sich schuldig bekannt, an BlackCat- (ALPHV) Ransomware-Angriffen gegen US-Organisationen im Jahr 2023 beteiligt gewesen zu sein. Ryan Clifford Goldberg, ehemaliger Incident-Response-Manager bei Sygnia, und Kevin Tyler Martin, zuvor Ransomware-Verhandlungsführer bei DigitalMint, gestanden eine Verschwörung zur Behinderung des Handels durch Erpressung. Die Urteilsverkündung ist für März 2026 angesetzt, beiden drohen bis zu 20 Jahre Haft.
Gerichtsunterlagen zufolge agierten die beiden gemeinsam mit einem dritten Komplizen als BlackCat-Affiliates und kompromittierten zwischen Mai und November 2023 mehrere US-Unternehmen. Zu den Opfern zählten Organisationen aus den Bereichen Pharma, Ingenieurwesen, Gesundheitswesen und Drohnenherstellung. Die Lösegeldforderungen reichten von 300.000 bis 10 Millionen US-Dollar, wobei mindestens 1,27 Millionen US-Dollar als gezahlt bestätigt wurden.
US-Behörden erklärten, der Fall verdeutliche das wachsende Insider-Risiko, insbesondere wenn vertrauenswürdige Cyber-Security-Expertise für kriminelle Zwecke missbraucht werde.

Ransomware-Angriff stört Rumäniens größten kohlebasierten Energieerzeuger

Rumäniens größter kohlebasierten Stromerzeuger, Oltenia Energy Complex, wurde von einem Ransomware-Angriff getroffen, der am zweiten Weihnachtstag Teile der IT-Infrastruktur lahmlegte. Das Unternehmen bestätigte, dass mehrere Systeme betroffen waren, darunter ERP-Plattformen, Dokumentenmanagement-Anwendungen, E-Mail-Dienste und die öffentliche Website, nachdem Dateien und Dokumente verschlüsselt wurden.
Obwohl der Vorfall den Geschäftsbetrieb teilweise beeinträchtigte, erklärte Oltenia Energy Complex, dass die Stromerzeugung und die Stabilität des nationalen Energiesystems nicht gefährdet gewesen seien. IT-Teams begannen umgehend mit dem Wiederaufbau der betroffenen Systeme auf einer neuen Infrastruktur unter Nutzung vorhandener Backups. Zudem wird untersucht, ob vor der Verschlüsselung Daten exfiltriert wurden.
Der Angriff wurde der Nationalen Direktion für Cyber-Sicherheit Rumäniens, dem Energieministerium sowie DIICOT gemeldet. Als mutmaßlicher Urheber gilt die Ransomware-Gruppe Gentlemen. Der Vorfall folgt auf weitere jüngste Ransomware-Angriffe auf rumänische kritische Infrastrukturen und unterstreicht die anhaltende Gefährdung des Energie- und öffentlichen Sektors.

Aflac-Datenleck legt personenbezogene Daten von 22,6 Millionen Menschen offen

Der Versicherungskonzern Aflac hat eine schwerwiegende Datenpanne bestätigt, bei der personenbezogene Informationen von rund 22,65 Millionen Menschen entwendet wurden. Das Unternehmen entdeckte am 12. Juni 2025 verdächtige Aktivitäten in seinem US-Netzwerk und machte den Vorfall am 20. Juni öffentlich. Verantwortlich sei eine hochentwickelte Cyberkriminelle Gruppe, die gezielt den Versicherungssektor angreife.
Aflac erklärte, der Angriff sei rasch eingedämmt worden, zudem seien externe Cyber-Security-Spezialisten zur Unterstützung der Incident-Response hinzugezogen worden. Das Unternehmen bestätigte, dass keine Ransomware eingesetzt wurde und der Geschäftsbetrieb nicht beeinträchtigt war. Nach Abschluss einer umfassenden Untersuchung kurz vor Weihnachten begann Aflac mit der Benachrichtigung der betroffenen Personen.
Zu den kompromittierten Daten zählen Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten, staatlich ausgestellte Ausweisdokumente sowie medizinische und Krankenversicherungsinformationen. Aflac teilte mit, derzeit keine Hinweise auf einen missbräuchlichen Gebrauch der Daten zu haben, und bietet 24 Monate kostenlose Kreditüberwachung, Schutz vor Identitätsdiebstahl und medizinischem Betrug an. Die Datenpanne gilt als Teil einer umfassenderen Kampagne gegen Versicherungsunternehmen.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.