Ransomware-Angriff auf den spanischen Hafen von Vigo stört digitalen Betrieb

Ein Ransomware-Angriff hat die digitalen Systeme des spanischen Hafens von Vigo gestört, so dass Teile des Netzwerks offline sind und einige Abläufe wieder manuell durchgeführt werden müssen. Der Vorfall, der am frühen Dienstag entdeckt wurde, betraf Server, die für die Frachtverwaltung und Hafendienste zuständig sind, und bestätigte eine Lösegeldforderung und verschlüsselte Systeme.

Als Reaktion darauf hat die Hafenbehörde die betroffene Infrastruktur isoliert, um die Bedrohung einzudämmen, während physische Abläufe wie Schiffsbewegungen und Frachtumschlag weiterlaufen. Die Logistikkoordination wurde jedoch erheblich beeinträchtigt, da die Betreiber auf papierbasierte Arbeitsabläufe angewiesen sind.

Hafenpräsident Carlos Botana bestätigte, dass die Systeme erst dann wiederhergestellt werden, wenn die Sicherheitsteams sicher sind, dass die Bedrohung vollständig beseitigt wurde. Derzeit laufen Untersuchungen, um den ursprünglichen Zugangspunkt zu ermitteln und eine mögliche Datenkompromittierung zu bewerten.

Der Angriff zeigt, dass Ransomware-Gruppen zunehmend die maritime Infrastruktur ins Visier nehmen, da eine Störung der Häfen unmittelbare und weitreichende Auswirkungen auf die globalen Lieferketten haben kann.

Bösartiges LiteLLM-Paket sorgt für großen Angriff auf die Lieferkette

Das weit verbreitete Python-Paket LiteLLM wurde durch einen schwerwiegenden Angriff auf die Lieferkette kompromittiert, wobei böswillige Versionen Unternehmen einem groß angelegten Diebstahl von Anmeldeinformationen und einer potenziellen Systemgefährdung aussetzten. Bei dem Angriff, der der TeamPCP-Gruppe zugeschrieben wird, wurden manipulierte Versionen von LiteLLM über PyPI verbreitet, was sich auf eine täglich millionenfach genutzte Bibliothek auswirkte.

Die bösartigen Pakete enthielten versteckte Nutzdaten, die beim Import ausgeführt wurden und sensible Daten wie SSH-Schlüssel, Cloud-Anmeldedaten, Kubernetes-Geheimnisse und Umgebungsvariablen abfingen. Fortgeschrittenere Varianten sorgten für Persistenz, indem sie Hintertüren einbetteten, die immer dann aktiviert werden, wenn Python ausgeführt wird, und so kontinuierlichen Zugriff und laterale Bewegungen über Umgebungen hinweg ermöglichen.

Ersten Berichten zufolge könnten bis zu 500.000 Geräte betroffen sein, wobei die Zahlen noch nicht bestätigt sind. Die Kampagne schließt sich an frühere TeamPCP-Aktivitäten an, die auf Tools wie Trivy abzielten und ein Muster der Ausnutzung vertrauenswürdiger Software in der Entwicklungspipeline aufzeigen.

Der Vorfall unterstreicht das wachsende Risiko von Angriffen auf die Software-Lieferkette, bei denen sich eine einzige kompromittierte Abhängigkeit über Tausende von Unternehmen ausbreiten kann, wodurch wichtige Systeme, Daten und Infrastrukturen in großem Umfang gefährdet werden.

Lesen Sie mehr in unserem Threat Advisory

Cyberangriff auf die Systeme des niederländischen Finanzministeriums

Das niederländische Finanzministerium hat bestätigt, dass interne Systeme von einem Cyberangriff betroffen waren. Nach einer Warnung durch Dritte am 19. März wurde ein unbefugter Zugriff festgestellt. Eine Untersuchung ist im Gange. Beamte haben bestätigt, dass einige Mitarbeiter betroffen sind und der Zugang zu den betroffenen Systemen als Vorsichtsmaßnahme eingeschränkt wurde.

Es wird davon ausgegangen, dass der Einbruch Systeme betrifft, die in politischen Abteilungen verwendet werden, obwohl wichtige nationale Dienste nicht betroffen sind. Die Behörden bestätigten, dass die Steuererhebung, die Zollabwicklung und die Sozialleistungssysteme weiterhin normal funktionieren, so dass es zu keinerlei Beeinträchtigungen für Bürger oder Unternehmen kommt.

Zum jetzigen Zeitpunkt ist das Ausmaß des Vorfalls noch unklar, und es gibt keine Bestätigung darüber, ob auf sensible Daten zugegriffen wurde oder ob diese exfiltriert wurden. Kein Bedrohungsakteur hat sich zu dem Vorfall bekannt.

Der Vorfall reiht sich ein in eine Reihe von Cyberangriffen auf niederländische Einrichtungen, die den anhaltenden Druck auf staatliche Systeme verdeutlichen. Bei den weiteren Ermittlungen liegt der Schwerpunkt auf der Identifizierung des Angriffsvektors, der Bewertung der Auswirkungen und der Verstärkung der Kontrollen, um weitere Angriffe zu verhindern.

AstraZeneca-Daten angeblich gestohlen und zum Verkauf im Dark Web angeboten

Eine Hackergruppe hat behauptet, in die IT-Systeme von AstraZeneca eingedrungen zu sein, ca. 3 GB an sensiblen Daten exfiltriert zu haben und versucht, diese im Dark Web zu verkaufen. Die Gruppe, die als LAPSUS$ identifiziert wurde, hat Berichten zufolge Beispieldateien veröffentlicht, um den Einbruch zu bestätigen, obwohl das Unternehmen den Vorfall noch nicht bestätigt hat.

Zu den angeblichen Daten gehören Quellcode, Details zur Cloud-Infrastruktur, mit Mitarbeitern verknüpfte Datensätze und Zugangsdaten. Es wird zwar nicht davon ausgegangen, dass Kundendaten betroffen sind, aber die Offenlegung interner Systeme und identitätsbezogener Informationen könnte ein erhebliches Sicherheitsrisiko darstellen. Selbst ohne aktive Anmeldedaten können solche Daten gezieltes Phishing, die Ausweitung von Berechtigungen und weitere Eindringversuche ermöglichen.

Sicherheitsforscher warnen, dass der Verstoß, sollte er sich bestätigen, schwerwiegende Folgen für das Gesundheitswesen haben könnte, wo geistiges Eigentum und Betriebsdaten äußerst wertvolle Ziele sind. Besonders bemerkenswert ist, dass die Angreifer die Daten anscheinend direkt zu Geld machen und nicht auf herkömmliche Ransomware-Taktiken zurückgreifen.

Der Vorfall spiegelt einen allgemeinen Wandel in der Strategie der Cyberkriminellen wider: Datendiebstahl und -weiterverkauf werden zu einer immer größeren Bedrohung für Unternehmensorganisationen.

Foster City USA erklärt den Notstand, nachdem eine Cyberattacke die Dienste unterbrochen hat

Die Stadt Foster City hat den Notstand ausgerufen, nachdem eine Cyberattacke die Behörden gezwungen hat, ihr gesamtes Netzwerk vom Netz zu nehmen, wodurch die städtischen Abläufe stark beeinträchtigt wurden. Die Notdienste sind zwar weiterhin einsatzbereit, aber die Kernfunktionen des Rathauses, einschließlich der Kommunikations- und Genehmigungssysteme, sind zum Erliegen gekommen.

Die Behörden haben den vollen Umfang des Einbruchs noch nicht bekannt gegeben, auch nicht, welche Daten möglicherweise abgegriffen oder kompromittiert wurden. Einwohnern und Unternehmen wurde jedoch empfohlen, ihre Passwörter vorsichtshalber zu ändern. Der Mangel an Details hat zu Unsicherheiten über das Ausmaß und die Auswirkungen des Vorfalls geführt.

Die Mitarbeiter der Stadt können derzeit keine E-Mails senden oder empfangen und keine Anrufe tätigen, was die durch den Angriff verursachte Betriebsunterbrechung verdeutlicht. Die Beamten arbeiten mit externen Cybersicherheitsexperten zusammen, um den Vorfall zu untersuchen und die Systeme wiederherzustellen, wobei jedoch kein Zeitplan angegeben wurde.

Die Ausrufung des Notstands ermöglicht den Zugang zu zusätzlichen Finanzmitteln und Ressourcen und unterstreicht die Schwere der Störung und die zunehmenden Auswirkungen, die Cybervorfälle auf den Betrieb des öffentlichen Sektors haben können.

6,8 Millionen Nutzer sind von der Sicherheitsverletzung bei Crunchyroll betroffen, die mit den Supportsystemen Dritter zusammenhängt

Die Anime-Streaming-Plattform Crunchyroll untersucht eine gemeldete Sicherheitsverletzung, nachdem Bedrohungsakteure angeblich auf Daten von bis zu 6,8 Millionen Nutzern zugegriffen haben. Wie das Unternehmen mitteilte, scheint sich der Vorfall auf Ticketdaten des Kundendienstes zu beschränken, die von einem Drittanbieter kompromittiert wurden.

Berichten zufolge verschafften sich die Angreifer über das Konto eines Support-Mitarbeiters, das angeblich durch Malware kompromittiert wurde, Zugang zu mehreren internen Systemen, darunter Zendesk und Tools zur Zusammenarbeit im Unternehmen. Die Angreifer behaupten, Millionen von Support-Datensätzen mit Benutzerdetails wie E-Mail-Adressen, IP-Daten und Support-Anfragen exfiltriert zu haben.

Crunchyroll behauptet, dass es keine Beweise für einen anhaltenden Zugriff gibt und dass die Untersuchungen mit externen Cybersicherheitsexperten fortgesetzt werden. Auch wenn die Gefährdung durch Zahlungsdaten begrenzt zu sein scheint, zeigt der Vorfall die Risiken auf, die mit sensiblen Informationen in Support-Systemen verbunden sind.

Die Sicherheitsverletzung unterstreicht die wachsende Bedrohung durch Angriffe auf Drittanbieter, bei denen die Kompromittierung eines einzigen Kontos den Zugriff auf große Mengen von Kunden- und Unternehmensdaten über vernetzte Plattformen ermöglichen kann.

Kritische PLM-Schwachstelle gibt Anlass zu dringenden Warnungen in ganz Europa

PTC hat eine kritische Sicherheitslücke in seinen Plattformen Windchill und FlexPLM bekannt gegeben, die Bedenken hinsichtlich einer möglichen Remotecodeausführung in weit verbreiteten Product-Lifecycle-Management-Systemen weckt. Die Schwachstelle mit der Bezeichnung CVE-2026-4681 ist auf eine unsichere Deserialisierung vertrauenswürdiger Daten zurückzuführen und betrifft mehrere unterstützte Versionen.

Obwohl keine aktive Ausnutzung bestätigt wurde, haben die Behörden in Deutschland den ungewöhnlichen Schritt unternommen, direkte, persönliche Warnungen an Unternehmen herauszugeben, um die wahrgenommene Unmittelbarkeit der Bedrohung zu unterstreichen. Berichten zufolge haben sich die Strafverfolgungsbehörden landesweit an Unternehmen gewandt und auf eine schnelle Schadensbegrenzung gedrängt.

Da noch kein offizielles Patch zur Verfügung steht, hat PTC den Unternehmen empfohlen, vorübergehende Maßnahmen zu ergreifen, wie z. B. den Zugriff auf gefährdete Komponenten einzuschränken oder die betroffenen Systeme vom Internet zu trennen, sofern dies erforderlich ist. Außerdem wurden Indikatoren für eine Gefährdung veröffentlicht, um die Erkennung von Bedrohungen zu unterstützen.

Angesichts der kritischen Rolle, die PLM-Systeme in der Fertigung, im Maschinenbau und in den Lieferketten spielen, stellt die Sicherheitslücke ein erhebliches Risiko dar. Die Reaktion unterstreicht die wachsende Besorgnis über die Ausnutzung von Unternehmenssoftware, um Industriespionage und groß angelegte Störungen zu ermöglichen.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.