30 Standorte waren von dem Cyberangriff auf Polens Energieinfrastruktur betroffen, wie Forscher herausgefunden haben

Ende Dezember wurde ein koordinierter Cyberangriff auf die dezentrale Energieinfrastruktur Polens verübt. Betroffen waren mehrere Standorte mit dezentralen Energiequellen, darunter Anlagen zur Kraft-Wärme-Kopplung sowie Wind- und Solaranlagen. Die Angreifer beschädigten zwar die betriebstechnische Ausrüstung irreparabel, die Stromversorgung wurde jedoch nicht unterbrochen. Die betroffene Kapazität belief sich auf insgesamt 1,2 GW, was etwa 5 Prozent der nationalen Versorgung entspricht.

Öffentliche Berichte bestätigen mindestens 12 betroffene Standorte, obwohl Dragos-Forscher glauben, dass die wahre Zahl eher bei 30 liegt. Die Tatsache, dass es keine Stromausfälle gab, sollte jedoch nicht als Beruhigung verstanden werden. Vielmehr verdeutlicht es die zunehmende Gefährdung dezentraler Energiesysteme durch gezielte OT-Angriffe.

Die Forscher schrieben die Aktivitäten mit mäßiger Sicherheit einem mit Russland verbundenen Bedrohungsakteur namens Electrum zu, der sich von APT44 unterscheidet, sich aber mit ihr überschneidet. Die Gruppe bewies fundierte operative Kenntnisse, indem sie die Kommunikation deaktivierte, OT-Geräte beschädigte und Windows-Systeme löschte. Obwohl ein landesweiter Stromausfall unwahrscheinlich ist, warnen die Forscher, dass die Destabilisierung der Frequenzen kaskadenartige Ausfälle hätte auslösen können, wie bei früheren Vorfällen im europäischen Stromnetz.

eScan Antivirus-Update-Infrastruktur kompromittiert, um bösartiges Update zu verbreiten

MicroWorld Technologies hat bestätigt, dass einer seiner regionalen eScan-Updateserver angegriffen und genutzt wurde, um am 20. Januar 2026 während eines zweistündigen Zeitfensters eine bösartige Datei an eine begrenzte Anzahl von Kunden zu verteilen. Der Vorfall betraf nur Systeme, die Updates von dem betroffenen regionalen Cluster bezogen, wobei das Unternehmen betont, dass das eScan Produkt selbst nicht verwundbar war.

Laut eScan ermöglichte ein unautorisierter Zugriff auf die Konfiguration des Update-Servers die Platzierung einer beschädigten Binärdatei im Update-Pfad. Die betroffene Infrastruktur wurde innerhalb weniger Stunden isoliert, wiederhergestellt und die Anmeldedaten ausgetauscht.

Unabhängige Forscher analysierten die Aktivitäten und berichteten, dass eine modifizierte Update-Komponente verwendet wurde, um mehrstufige Malware zu installieren, weitere Updates zu deaktivieren und sich Zugang zu Befehls- und Kontrollfunktionen zu verschaffen. Während die beiden Parteien den Zeitpunkt der Entdeckung bestreiten, empfehlen beide, dass die Kunden Updates zur Behebung des Problems installieren und die zugehörige Befehls- und Kontrollinfrastruktur blockieren, um das laufende Risiko zu verringern.

Soundcloud-Datenpanne betrifft 29,8 Millionen Konten

SoundCloud hat bestätigt, dass rund 29,8 Millionen Benutzerkonten betroffen sind, nachdem sich Unbefugte im Dezember Zugang zu einem der Dashboards des Zusatzdienstes verschafft hatten. Die 2007 gegründete Audio-Streaming-Plattform beherbergt mehr als 400 Millionen Titel von über 40 Millionen Künstlern weltweit, so dass das Ausmaß der Gefährdung erheblich ist.

Nach Angaben des Unternehmens wurde nicht auf Passwörter oder Finanzdaten zugegriffen. Zu den gestohlenen Informationen gehörten jedoch E-Mail-Adressen, Namen, Benutzernamen, Profilstatistiken, Avatare und in einigen Fällen auch geografische Standortdaten. Viele dieser Informationen waren in den Profilen bereits öffentlich sichtbar, aber der Vorfall ermöglichte es den Angreifern, sie in großem Umfang direkt den E-Mail-Adressen zuzuordnen.

Der Dienst Have I Been Pwned, der über Datenschutzverletzungen informiert, bestätigte diese Woche das volle Ausmaß der Enthüllung. SoundCloud hat inzwischen eingeräumt, dass die Erpressergruppe ShinyHunters dafür verantwortlich war. Die Angreifer versuchten, das Unternehmen zu erpressen und setzten E-Mail-Flutungstaktiken ein, um Nutzer und Mitarbeiter zu belästigen.

Der Vorfall verdeutlicht das wachsende Risiko groß angelegter Datenaggregationsangriffe, selbst wenn nur begrenzte Datensätze betroffen sind.

Kritische Schwachstellen im SolarWinds Web-Helpdesk gepatcht

SolarWinds hat dringende Sicherheitsupdates veröffentlicht, die mehrere kritische Schwachstellen in seiner Web Help Desk (WHD)-Software beheben, darunter Schwachstellen bei der Umgehung der Authentifizierung und der Ausführung von Remote-Befehlen, die von nicht authentifizierten Angreifern ausgenutzt werden könnten. Zu den gepatchten Problemen gehören zwei Schwachstellen bei der Umgehung der Authentifizierung und zwei separate Schwachstellen bei der Remotecode-Ausführung, die alle als kritisch eingestuft sind und durch Angriffe mit geringer Komplexität ausgenutzt werden können.

Forscher meldeten die Schwachstellen und wiesen auf Schwachstellen hin, die es Angreifern ermöglichen könnten, Befehle aus der Ferne ohne gültige Anmeldedaten auszuführen. SolarWinds hat außerdem ein schwerwiegendes Problem mit fest kodierten Anmeldedaten behoben, das unter bestimmten Umständen unberechtigten Zugriff auf administrative Funktionen gewähren konnte.

Administratoren werden dringend gebeten, so schnell wie möglich auf Web Help Desk Version 2026.1 zu aktualisieren. Die Warnung ist besonders akut, da Web Help Desk in der Vergangenheit aktiv ausgenutzt wurde und frühere Schwachstellen in den Katalog der bekannten Schwachstellen der CISA aufgenommen wurden.

Da WHD in Behörden, im Gesundheitswesen, im Bildungswesen und in großen Unternehmen weit verbreitet ist, unterstreichen die Aktualisierungen das anhaltende Risiko, das von ungeschützten IT-Verwaltungsplattformen ausgeht, und die Bedeutung eines schnellen Patchings.

Microsoft Office Zero-Day-Schwachstelle ausgenutzt, Notfall-Updates bereitgestellt

Microsoft hat Notfall-Sicherheitsupdates veröffentlicht, um CVE-2026-21509 zu beheben, eine Zero-Day-Schwachstelle in Microsoft Office, die derzeit aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es Angreifern, wichtige Sicherheitsvorkehrungen zu umgehen, die unsichere COM- und OLE-Steuerelemente blockieren sollen, indem sie die Art und Weise missbrauchen, wie Office nicht vertrauenswürdige Eingaben bei Sicherheitsentscheidungen verarbeitet.

Die als wichtig eingestufte Schwachstelle mit einem CVSS-Score von 7,8 erfordert eine Benutzerinteraktion, in der Regel durch Phishing oder Social Engineering, das ein Opfer dazu bringt, eine bösartige Office-Datei zu öffnen. Obwohl der Angriff keine Berechtigungen erfordert und wenig komplex ist, kann eine erfolgreiche Ausnutzung schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit haben.

Microsoft hat die Ausnutzung der Sicherheitslücke über sein Threat Intelligence Centre bestätigt. Damit ist dies die zweite aktiv ausgenutzte Office-Zero-Day-Lücke, die in diesem Monat gepatcht wurde. Das Problem betrifft sowohl ältere als auch aktuelle Office-Versionen.

Unternehmen wird dringend empfohlen, Patches vorrangig zu installieren, sicherzustellen, dass automatische Updates aktiviert sind, und die Überwachung auf verdächtige Office-Anhänge und anomales COM- oder OLE-Verhalten zu verstärken.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.