Wiper-Malware-Angriff trifft den globalen MedTech-Riesen Stryker

Das Medizintechnikunternehmen Stryker Corporation wurde Opfer eines schwerwiegenden Cyberangriffs, nachdem zerstörerische Wiper-Malware die Systeme in seinem globalen Netzwerk gestört hatte. Zu dem Angriff bekannte sich die pro-palästinensische Hackergruppe Handala Hack Team, von der angenommen wird, dass sie mit dem iranischen Geheimdienst- und Sicherheitsministerium in Verbindung steht.

Nach Angaben der Gruppe stahlen die Angreifer rund 50 Terabyte an Daten, bevor sie mehr als 200 000 Systeme, Server und mobile Geräte löschten. Mitarbeiter in mehreren Regionen, darunter in den Vereinigten Staaten, Irland, Costa Rica und Australien, berichteten, dass Laptops und mobile Geräte, die in den Verwaltungssystemen des Unternehmens registriert sind, in der Nacht aus der Ferne zurückgesetzt wurden.

Die Störung zwang Niederlassungen in Dutzenden von Ländern, den normalen Betrieb einzustellen, wobei einige Standorte nach dem Verlust des Zugangs zu internen Anwendungen und Diensten auf manuelle Prozesse zurückgriffen.

Stryker bestätigte den Vorfall in einem behördlichen Bericht und gab an, dass der Angriff eine globale Störung der Microsoft-Umgebung verursacht hat. Das Unternehmen hat seinen Reaktionsplan für Cybervorfälle aktiviert und arbeitet mit externen Cybersicherheitsspezialisten zusammen, um die betroffenen Systeme zu untersuchen und wiederherzustellen.

Microsoft Patch Tuesday behebt 79 Sicherheitslücken

Microsoft hat seine Patch Tuesday-Updates für März 2026 veröffentlicht, mit denen 79 Sicherheitslücken im gesamten Software-Ökosystem des Unternehmens geschlossen werden, darunter auch zwei öffentlich gemeldete Zero-Day-Schwachstellen. Zwar wurde keine der beiden Zero-Day-Schwachstellen bisher für aktive Angriffe ausgenutzt, doch werden Unternehmen aufgrund des potenziellen Schweregrads mehrerer Probleme dringend aufgefordert, die Patches vorrangig zu installieren.

Zu den behobenen Schwachstellen gehören 46 Schwachstellen, die zu einer Erhöhung der Berechtigungen führen, 18 Schwachstellen, die die Ausführung von entferntem Code ermöglichen, sowie mehrere Schwachstellen, die die Preisgabe von Informationen und die Verweigerung von Diensten ermöglichen. Zwei der bemerkenswertesten Behebungen betreffen ein SQL Server-Problem der Rechteerweiterung (CVE-2026-21262), das es Angreifern ermöglichen könnte, SQLAdmin-Rechte zu erlangen, sowie eine .NET Denial-of-Service-Schwachstelle.

Microsoft hat außerdem zwei Schwachstellen in Microsoft Office behoben, die eine Remotecodeausführung ermöglichen und über das Vorschaufenster ausgelöst werden können, was Office-Updates in diesem Zyklus besonders wichtig macht. Außerdem könnte eine Excel-Schwachstelle bei Ausnutzung eine Datenexfiltration über Microsoft Copilot ermöglichen.

Neben den Microsoft-Updates haben in diesem Monat auch mehrere andere Hersteller Sicherheitshinweise veröffentlicht, darunter Adobe, Cisco, Fortinet, Google, Hewlett Packard Enterprise und SAP. Unternehmen wird empfohlen, die Patches umgehend zu überprüfen, um das Risiko zu verringern.

"Zombie-Zip"-Technik umgeht Antiviren-Erkennung

Sicherheitsforscher haben eine neue Technik namens "Zombie ZIP" aufgedeckt, die es ermöglicht, bösartige Nutzdaten in speziell gestalteten ZIP-Archiven zu verstecken und so viele Antiviren- und Endpunkt-Erkennungstools zu umgehen. Die von den Forschern entwickelte Methode umgeht Berichten zufolge 50 der 51 auf VirusTotal getesteten Sicherheits-Engines.

Die Technik funktioniert durch Manipulation der ZIP-Dateikopfzeilen, so dass Sicherheitsscanner glauben, das Archiv enthalte unkomprimierte Daten. In Wirklichkeit wird die Nutzlast jedoch mit dem Standard-Algorithmus Deflate komprimiert. Da viele Antivirenprogramme den Header-Informationen vertrauen, scannen sie die scheinbar harmlosen Rohdaten, so dass der bösartige Inhalt unentdeckt bleibt.

Standard-Extraktionstools wie WinRAR und 7-Zip können diese Dateien in der Regel nicht extrahieren und zeigen oft Fehler oder beschädigte Ausgaben an. Ein speziell entwickelter Lader kann jedoch den irreführenden Header ignorieren und die versteckte Nutzlast korrekt dekomprimieren.

Die Sicherheitslücke, die unter der Bezeichnung CVE-2026-0866 geführt wird, hat zu einer Warnung des CERT Coordination Center geführt, das den Sicherheitsanbietern rät, die Archivinspektion zu verstärken und die Kompressionsmethoden sorgfältiger zu überprüfen. Die Benutzer werden außerdem aufgefordert, unerwartete ZIP-Dateien mit Vorsicht zu behandeln.

Hacker zielen auf falsch konfigurierte Salesforce Experience Cloud-Sites

Salesforce hat seine Kunden gewarnt, dass Angreifer es auf falsch konfigurierte Experience Cloud-Websites abgesehen haben, die Gastbenutzern den Zugriff auf mehr Daten als vorgesehen ermöglichen. Die Aktivitäten konzentrieren sich auf den API-Endpunkt /s/sfsites/aura, wo schlecht konfigurierte Gastbenutzerberechtigungen es nicht authentifizierten Besuchern ermöglichen können, sensible Salesforce CRM-Daten abzufragen.

Laut dem Advisory missbrauchen die Angreifer eine modifizierte Version von AuraInspector, einem Open-Source-Audit-Tool, das ursprünglich von Mandiant entwickelt wurde, um Konfigurationsprobleme innerhalb des Salesforce Aura-Frameworks zu identifizieren. Bedrohungsakteure haben das Tool angepasst, um groß angelegte Scans von öffentlich zugänglichen Experience Cloud-Sites durchzuführen und nach übermäßigen Gastrechten zu suchen.

Die Cybercrime-Gruppe ShinyHunters beansprucht die Verantwortung für die Kampagne und behauptet, sie habe Hunderte von Organisationen durch Ausnutzung dieser Fehlkonfigurationen kompromittiert.

Salesforce behauptet, dass es sich bei dem Problem nicht um eine Schwachstelle in der Plattform handelt, sondern um das Ergebnis falscher Kundenkonfigurationen. Das Unternehmen fordert die Unternehmen auf, die Berechtigungen von Gastbenutzern zu überprüfen, unnötige API-Zugriffe zu deaktivieren und das Prinzip der geringsten Privilegien durchzusetzen, um das Risiko einer Datengefährdung zu verringern.

BlackSanta-Malware-Kampagne zielt auf HR-Teams

Sicherheitsforscher haben eine seit langem laufende Cyber-Kampagne aufgedeckt, die mit einer ausgeklügelten Malware namens BlackSanta auf Personalabteilungen abzielt. Einem Bericht von Aryaka zufolge ist der russischsprachige Bedrohungsakteur, der hinter dieser Operation steht, seit über einem Jahr aktiv und kombiniert Social Engineering mit fortschrittlichen Umgehungstechniken, um in Unternehmenssysteme einzudringen.

Die Angriffskette beginnt vermutlich mit Spear-Phishing-E-Mails, in denen die Opfer aufgefordert werden, ISO-Dateien herunterzuladen, die als Jobanwendungen getarnt sind und auf Cloud-Plattformen wie Dropbox gehostet werden. Sobald die bösartigen Dateien geöffnet werden, lösen sie PowerShell-Skripte aus, die mithilfe von Steganografie versteckten Code extrahieren und direkt im Systemspeicher ausführen.

Eine Schlüsselkomponente der Kampagne ist der BlackSanta EDR-Killer, der darauf ausgelegt ist, Sicherheitstools für Endgeräte zu deaktivieren, bevor er weitere Nutzdaten einschleust. Die Malware ändert die Einstellungen von Microsoft Defender, unterdrückt Systemwarnungen und beendet Sicherheitsprozesse auf der Kernel-Ebene unter Verwendung anfälliger Treiber.

Die Forscher sagen, dass die Operation eine starke operative Sicherheit demonstriert, indem sie heimliche Infektionsketten und Umgebungsprüfungen verwendet, um eine Entdeckung zu vermeiden und gleichzeitig eine langfristige Persistenz in den Zielnetzwerken zu gewährleisten.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.