Inhalt
01. News Bites
- Weltweite Investitionsbetrugsmasche nutzt gefälschte Nachrichtenseiten und zielt auf Nutzer in über 50 Ländern ab
- Neue Ransomware-Gruppe „BERT“ greift virtuelle Maschinen an, um maximale Störung zu verursachen
- Microsoft Patch Tuesday Juli 2025: 137 Sicherheitslücken behoben
- Studie: Britische Beschäftigte zögern, Cyberangriffe zu melden
- Verdächtige indische APT-Gruppe attackiert europäisches Ministerium mit maßgeschneiderter Malware
02. Schlussfolgerung
Weltweite Investitionsbetrugsmasche nutzt gefälschte Nachrichtenseiten und zielt auf Nutzer in über 50 Ländern ab
Ein groß angelegter Online-Investitionsbetrug täuscht Nutzer weltweit durch gefälschte Nachrichtenseiten, die seriöse Medien wie CNN, BBC oder CNBC imitieren. Diese Seiten, bekannt als Baiting News Sites (BNS), wirken täuschend echt und enthalten manipulierte Berichte, die fälschlich behaupten, Prominente, Zentralbanken oder Finanzmarken würden sogenannte „passive Einkommensquellen“ unterstützen.
Die Betrüger lenken mithilfe gesponserter Anzeigen auf Plattformen wie Google und Meta gezielt Nutzer auf diese Seiten. Häufig werden sensationsheischende Schlagzeilen und nationale Symbole verwendet, um Glaubwürdigkeit zu erzeugen. Klickt man auf die Anzeigen, gelangt man zu gefälschten Artikeln, die anschließend auf betrügerische Plattformen wie Trap10, Solara Vynex oder Eclipse Earn weiterleiten.
Nach der Registrierung beginnt ein inszenierter Prozess: angeblich professionelle Vermittler nehmen Kontakt auf, fordern Identitätsnachweise und regen zu Krypto-Einzahlungen an. Die Betrugsseiten simulieren Gewinne, um die Illusion aufrechtzuerhalten, und setzen Opfer unter Druck, erneut zu investieren. Neben finanziellen Verlusten werden auch persönliche Daten für Phishing und Identitätsdiebstahl gesammelt.
Diese ausgeklügelte Betrugsmasche in mehreren Phasen verdeutlicht die zunehmende globale Bedrohung durch BNS-Kampagnen.
Neue Ransomware-Gruppe „BERT“ greift virtuelle Maschinen an, um maximale Störung zu verursachen
Eine neu identifizierte Ransomware-Gruppe namens BERT sorgt in der Cyber-Sicherheitswelt für Aufsehen, da sie gezielt VMware ESXi-Server abschaltet, bevor sie Daten verschlüsselt. Die Gruppe wurde erstmals im April 2025 entdeckt und hat sich seitdem rasch in Asien, Europa und den USA ausgebreitet.
BERT – auch unter dem Namen Water Pombero bekannt – verwendet eine Linux-Variante, die ESXi-Hosts erkennt und virtuelle Maschinen gezielt herunterfährt. Dadurch werden Wiederherstellungsmaßnahmen erheblich erschwert und Ausweich- oder Backup-Möglichkeiten während eines laufenden Angriffs blockiert.
Die Malware kann bis zu 50 Threads gleichzeitig verarbeiten, um Geschwindigkeit und Wirkung in großen virtualisierten Umgebungen zu maximieren. Darüber hinaus zielt BERT auch auf Windows- und Linux-Systeme ab, indem PowerShell-basierte Loader verwendet werden, die Sicherheitsfunktionen deaktivieren, bevor die eigentliche Schadsoftware aus russischer Infrastruktur nachgeladen wird.
Die Taktiken erinnern an das berüchtigte REvil-Ransomware-Modell und wurden bereits gegen den Gesundheitssektor, Technologieunternehmen und Veranstaltungsdienste eingesetzt. Sicherheitsforscher empfehlen eine Netzwerksegmentierung, die Isolierung von Hypervisoren und die Nutzung unveränderlicher Backups.
Microsoft Patch Tuesday Juli 2025: 137 Sicherheitslücken behoben
Microsoft hat im Rahmen des Patch Tuesday im Juli 2025 insgesamt 137 Sicherheitslücken geschlossen – darunter eine öffentlich bekannte Zero-Day-Schwachstelle in SQL Server sowie 14 kritische Fehler, von denen die meisten eine Remote Code Execution (RCE) ermöglichen.
Die Zero-Day-Lücke CVE-2025-49719 kann zu unautorisiertem Zugriff auf den Speicher von SQL Server führen. Administratoren wird dringend empfohlen, die neueste SQL Server-Version und aktuelle OLE DB-Treiber zu installieren.
Darüber hinaus wurden kritische RCE-Schwachstellen in Microsoft Office, SharePoint und Hyper-V geschlossen, unter anderem durch dokumentbasierte Exploits, die bereits beim Vorschauöffnen einer Datei ausgelöst werden können. Besonders relevant ist die Schwachstelle CVE-2025-49704 in SharePoint, die mit gültigen Zugangsdaten ausnutzbar ist.
Auch AMD hat zwei neue Side-Channel-Schwachstellen bekanntgegeben. Weitere sicherheitsrelevante Patches kamen von Fortinet, Cisco, Google, SAP und Ivanti.
Mit insgesamt 53 behobenen Privilegieneskalationen, 41 RCE-Lücken und 18 Informationslecks sollten IT-Teams die Updates mit höchster Priorität einspielen. Microsoft rät ausdrücklich dazu, Systeme sofort zu prüfen und zu patchen, um das Risiko eines Angriffs zu minimieren.
Studie: Britische Beschäftigte zögern, Cyberangriffe zu melden
Laut einer neuen Studie würden 39 % der britischen Büroangestellten einen vermuteten Cyberangriff nicht ihrer IT- oder Sicherheitsabteilung melden – selbst wenn sie glauben, betroffen zu sein. Obwohl 79 % angeben, Cyberbedrohungen erkennen zu können, schweigen viele aus Angst vor Schuldzuweisung oder Ärger.
Scham und der Wunsch, „kein Aufhebens zu machen“, gehören zu den Hauptgründen für das Schweigen. Einige Mitarbeitende (11 %) gaben sogar an, sie würden das Problem lieber selbst lösen, statt den IT-Support zu benachrichtigen.
Trotz eines höheren Verständnisses für Ransomware im Vereinigten Königreich im Vergleich zu Frankreich und Deutschland bleibt das Schweigen ein erhebliches Risiko. Laut IBM verursachen Datenpannen, die über 200 Tage andauern, im Schnitt 34 % höhere Kosten – ein klares Zeichen für die Wichtigkeit frühzeitigen Eingreifens.
Auch staatliche Zahlen unterstreichen das Problem: Im Jahr 2024 waren die Hälfte aller britischen Unternehmen und ein Drittel aller Wohltätigkeitsorganisationen von Cybervorfällen betroffen.
Verdächtige indische APT-Gruppe attackiert europäisches Ministerium mit maßgeschneiderter Malware
Cyber-Sicherheitsforscher von Trellix haben eine gezielte Spionagekampagne gegen ein europäisches Außenministerium der mutmaßlich indischen APT-Gruppe DoNot Team zugeschrieben. Auch bekannt als APT-C-35 oder Viceroy Tiger, ist die Gruppe seit 2016 aktiv und zielt üblicherweise auf südasiatische Regierungen, NGOs und militärische Einrichtungen.
Der aktuelle Angriff nutzte Spear-Phishing-Mails, die sich als Verteidigungsbeamte ausgaben, um Empfänger zum Herunterladen eines infizierten RAR-Archivs zu bewegen. Dieses enthielt LoptikMod, einen maßgeschneiderten Remote-Access-Trojaner, der Persistenz herstellt, Daten exfiltriert und durch Anti-VM- und Verschleierungstechniken schwer zu erkennen ist.
Obwohl der Command-and-Control-Server mittlerweile deaktiviert wurde, zeigt die Kampagne eine Weiterentwicklung der DoNot-Fähigkeiten – es ist der erste bekannte Einsatz von LoptikMod gegen eine europäische Regierung.
Die Trellix-Forscher werten dies als strategischen Wandel: weg von opportunistischen Angriffen hin zu gezielter diplomatischer Informationsbeschaffung. Frühere Ziele umfassten auch Organisationen im Vereinigten Königreich und in Norwegen, aber dieser Angriff stellt eine deutliche Eskalation der Methodik dar.
Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe bei der Entscheidung benötigen, welche Schritte Sie unternehmen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder nehmen Sie alternativ Kontakt mit uns auf, um herauszufinden, wie Sie Ihr Unternehmen schützen können.
Disclaimer
Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst aktuelle Bedrohungsnachrichten zum Zeitpunkt der Veröffentlichung zusammen. Er stellt keine Rechtsberatung, Beratung oder sonstige fachliche Beratung dar. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns geteilten Informationen keine politische Position. Zudem müssen die geäußerten Meinungen nicht unbedingt der Meinung von Integrity360 entsprechen.