EU sanktioniert Cyber-Akteure nach Angriffen auf französische und schwedische Organisationen

Die Europäische Union hat Sanktionen gegen drei Unternehmen und zwei Einzelpersonen verhängt, die mit anhaltenden Cyberangriffen gegen Mitgliedstaaten und Partner in Verbindung gebracht werden, da die geopolitischen Spannungen weiterhin zu staatlich gelenkten Aktivitäten führen. Zu den Maßnahmen gehören das Einfrieren von Vermögenswerten, Reiseverbote und Beschränkungen für die Bereitstellung von Geldern oder Ressourcen für die genannten Personen.

Gegen zwei in China ansässige Unternehmen wurden Sanktionen verhängt, weil sie groß angelegte Kompromittierungen ermöglicht haben. EU-Beamte erklärten, dass ihre Werkzeuge den Einbruch in mehr als 65.000 Geräte in sechs Mitgliedstaaten ermöglichten und Verbindungen zu der Bedrohungsgruppe Flax Typhoon bestanden. Anxun wird außerdem beschuldigt, weltweit über 80 Systeme von Regierungen und des privaten Sektors angegriffen zu haben.

Das iranische Unternehmen Emennet Pasargad wurde für Angriffe auf Organisationen in Frankreich und Schweden bestraft, darunter der Diebstahl einer französischen Abonnentendatenbank und die Unterbrechung eines schwedischen SMS-Dienstes, wovon eine große Zahl von Bürgern betroffen war.

Dieser Schritt unterstreicht das wachsende Risiko für kritische Infrastrukturen, da die zunehmende Digitalisierung die Angriffsfläche für staatlich unterstützte Cyberoperationen weiter vergrößert.

Companies House behebt Fehler, durch den britische Unternehmensdaten offengelegt wurden

Das Companies House hat seinen WebFiling-Dienst wiederhergestellt, nachdem es ihn offline genommen hatte, um eine Sicherheitslücke zu beheben, durch die möglicherweise sensible Daten von Millionen im Vereinigten Königreich eingetragener Unternehmen offengelegt wurden. Die Schwachstelle, die bei einer Systemaktualisierung im Oktober 2025 eingeführt wurde, blieb mehrere Monate lang bestehen, bevor sie von Sicherheitsforschern gemeldet wurde.

Die Schwachstelle ermöglichte es authentifizierten Nutzern, durch Manipulation des Ablage-Workflows auf das Dashboard eines anderen Unternehmens zuzugreifen. Dadurch hätten nicht-öffentliche Daten wie Geburtsdaten, Wohnadressen und E-Mail-Konten von Unternehmen offengelegt werden können. Es bestand auch das Risiko unbefugter Einreichungen, wie z. B. Änderungen der Angaben von Geschäftsführern oder die Einreichung von Abschlüssen, obwohl dies auf jeweils einen Unternehmensdatensatz beschränkt gewesen wäre.

Das Companies House hat bestätigt, dass keine Passwörter oder Daten zur Identitätsüberprüfung kompromittiert wurden und dass die bereits eingereichten Dokumente nicht verändert werden konnten.

Der Vorfall wurde dem Information Commissioner's Office und dem National Cyber Security Centre gemeldet. Es wurde zwar kein Missbrauch festgestellt, aber die Ermittlungen laufen weiter und zeigen, dass es weiterhin Risiken bei wichtigen digitalen Diensten des öffentlichen Sektors gibt.

Aura-Verletzung: Kundendaten nach Vishing-Angriff offengelegt

Das Identitätsschutzunternehmen Aura hat eine Datenpanne bestätigt, die fast 900.000 Datensätze betrifft, nachdem ein Phishing-Angriff auf ein Mitarbeiterkonto erfolgte. Der Vorfall verdeutlicht die anhaltende Effektivität von Social Engineering bei der Umgehung herkömmlicher Sicherheitskontrollen.

Zu den gefährdeten Daten gehören Namen, E-Mail-Adressen, Telefonnummern und Privatadressen. Aura gibt an, dass Sozialversicherungsnummern, Passwörter und Finanzdaten nicht kompromittiert wurden. Der betroffene Datensatz stammt größtenteils von einer alten Marketingplattform, die 2021 durch eine Übernahme übernommen wurde, und umfasst etwa 35.000 Datensätze, die mit aktuellen und ehemaligen Kunden verknüpft sind.

Die Bedrohungsgruppe ShinyHunters hat sich zu dem Vorfall bekannt und behauptet, 12 GB an Daten gestohlen und nach gescheiterten Erpressungsversuchen weitergegeben zu haben. Unabhängige Analysen deuten darauf hin, dass weitere Kundendienstnotizen und IP-Adressdaten offengelegt wurden, wobei viele Datensätze bereits von früheren Verstößen im Umlauf sind.

Aura arbeitet mit externen Cybersicherheitsspezialisten zusammen und hat die Strafverfolgungsbehörden informiert. Der Vorfall unterstreicht die anhaltende Gefahr, die von gezielten Angriffen auf Menschen ausgeht, insbesondere da Bedrohungsakteure weiterhin Mitarbeiter als Einstiegspunkt in Unternehmen nutzen.

Interlock-Ransomware nutzt Cisco-Zero-Day für Firewall-Angriffe aus

Die Ransomware-Gruppe Interlock hat eine kritische Schwachstelle in der Cisco Secure Firewall Management Center (FMC)-Software als Zero-Day-Angriff ausgenutzt, was das anhaltende Risiko durch ungepatchte Edge-Infrastrukturen verdeutlicht.

Die als CVE-2026-20131 verfolgte Schwachstelle ermöglicht nicht authentifizierten Angreifern die Ausführung von beliebigem Code mit Root-Rechten. Bedrohungsdaten deuten darauf hin, dass die Schwachstelle seit dem 26. Januar aktiv ausgenutzt wurde, so dass Angreifer über einen Monat lang Zugriff hatten, bevor Cisco am 4. März einen Patch veröffentlichte.

Interlock, das erstmals im Jahr 2024 beobachtet wurde, wurde mit mehreren öffentlichkeitswirksamen Angriffen in Verbindung gebracht und hat zuvor mit der Malware NodeSnake britische Universitäten angegriffen. In jüngster Zeit haben Forscher festgestellt, dass die Gruppe eine neue Variante, Slopoly, einsetzt, die vermutlich mit Hilfe generativer KI entwickelt wurde.

Die Kampagne konzentrierte sich auf Unternehmens-Firewall-Umgebungen, einen wichtigen Kontrollpunkt in Unternehmensnetzwerken. Diese Aktivitäten unterstreichen die Bedeutung von schnellen Patches, kontinuierlicher Überwachung und Fähigkeiten zur Erkennung von Bedrohungen, insbesondere da Bedrohungsakteure zunehmend Zero-Day-Schwachstellen als Waffe einsetzen, um sich einen ersten Zugang zu verschaffen und sich dauerhaft zu etablieren.

Telus Digital: Sicherheitslücke verdeutlicht Risiko in der Lieferkette

Telus Digital hat einen Vorfall im Bereich der Cybersicherheit bestätigt, nachdem die Bedrohungsgruppe ShinyHunters behauptet hatte, dass bis zu einem Petabyte an Daten im Rahmen eines langwierigen Einbruchs gestohlen wurden. Das Unternehmen untersucht derzeit das Ausmaß des Eindringens und hat externe Forensikexperten hinzugezogen, bestätigt jedoch, dass die Kerngeschäfte nicht beeinträchtigt wurden.

Als globaler Anbieter von Business Process Outsourcing verwaltet Telus Digital den Kundensupport, die Rechnungsstellung und operative Dienste für mehrere Unternehmen und ist damit ein lohnendes Ziel für Angreifer, die einen gebündelten Zugriff auf sensible Daten suchen. Die Bedrohungsakteure behaupten, dass die Sicherheitslücke durch offengelegte Google Cloud Platform-Anmeldeinformationen verursacht wurde, die in zuvor kompromittierten Daten Dritter entdeckt wurden, was eine laterale Bewegung über Systeme hinweg ermöglichte.

Die angeblich gestohlenen Daten umfassen Datensätze des Kundensupports, Call-Center-Daten, Sprachaufzeichnungen und interne Systeme, die möglicherweise in mehreren Kundenumgebungen genutzt werden. ShinyHunters hat angeblich einen Erpressungsversuch unternommen und 65 Millionen Dollar gefordert.

Der Vorfall unterstreicht das wachsende Risiko innerhalb von Drittanbieter- und SaaS-Ökosystemen, wo eine einzige Kompromittierung kaskadenartige Auswirkungen auf mehrere Organisationen und Lieferketten haben kann.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.