NCSC warnt britische Organisationen vor dem Hintergrund des Nahostkonflikts, ihre Cybersicherheitslage zu überprüfen

Das britische Nationale Zentrum für Cybersicherheit (NCSC) hat Organisationen dringend aufgefordert, ihre Cybersicherheitsvorkehrungen angesichts des sich entwickelnden Konflikts im Nahen Osten zu überprüfen. Nach Einschätzung des NCSC hat die direkte Cyber-Bedrohung für Großbritannien durch den Iran zwar nicht wesentlich zugenommen, doch die Situation ist nach wie vor unbeständig und kann sich je nach Entwicklung der Ereignisse schnell ändern.

Die Agentur warnt davor, dass die Wahrscheinlichkeit indirekter Cyber-Bedrohungen zunehmen könnte, insbesondere für Organisationen, die über Betriebe, Büros oder Lieferketten mit Verbindungen zu dieser Region verfügen. Es ist bekannt, dass staatlich gelenkte iranische Akteure und ihnen nahestehende Hacktivistengruppen über Cyberkapazitäten verfügen und störende Aktivitäten gegen Organisationen starten könnten, die mit gegnerischen Interessen in Verbindung gebracht werden.

Der NCSC rät Organisationen, die bestehenden Richtlinien zu DDoS-Angriffen, Phishing-Kampagnen und potenziellen Versuchen, industrielle Kontrollsysteme anzugreifen, zu überprüfen. Unternehmen, die in der Region exponiert sind, sollten eine verstärkte Überwachung in Erwägung ziehen, ihre externe Angriffsfläche neu bewerten und sich beim NCSC-Frühwarndienst anmelden, um Warnungen zu neuen Sicherheitsproblemen zu erhalten.

Anstieg der Cyber-Aktivitäten von Hacktivisten im Zusammenhang mit dem Nahost-Konflikt

Cybersecurity-Forscher warnen vor einer starken Zunahme von Hacktivisten-Aktivitäten nach der koordinierten Militärkampagne der USA und Israels gegen den Iran, die als Operation Epic Fury und Roaring Lion bekannt ist. Sicherheitsanalysten berichten, dass parallel zum physischen Konflikt auch die Cyber-Aktivitäten eskaliert sind und mehrere Gruppen Störkampagnen gestartet haben, die auf die Infrastruktur von Regierungen, Finanzinstituten und Telekommunikationsanbietern abzielen.

Nach Angaben von Radware wurden zwischen dem 28. Februar und dem 2. März mindestens 149 DDoS-Angriffe von Hacktivisten gemeldet, die 110 Organisationen in 16 Ländern zum Ziel hatten. Zwei Gruppen, Keymous+ und DieNet, waren für fast 70 % der Aktivitäten verantwortlich. Die meisten Angriffe konzentrierten sich auf den Nahen Osten, insbesondere Kuwait, Israel und Jordanien, obwohl mehr als 22 % der weltweiten Aktivitäten auf Europa entfielen. Fast die Hälfte aller Ziele waren Regierungsorganisationen.

Sicherheitsforscher berichten auch von Aktivitäten staatlich orientierter Bedrohungsakteure und pro-iranischer Cyber-Gruppen, darunter Phishing-Kampagnen, die Verbreitung von Malware und Versuche, in die Energie- und digitale Infrastruktur einzudringen. Analysten warnen davor, dass Cyberoperationen im Zusammenhang mit geopolitischen Spannungen oft eine Mischung aus Störung, Spionage und psychologischer Beeinflussung darstellen, was die Wahrscheinlichkeit weiterer Angriffe auf Regierungen, kritische Infrastrukturen und Organisationen des Privatsektors weltweit erhöht.

Europol-Operation unterbricht große Phishing-as-a-Service-Plattform

Eine von Europol koordinierte internationale Strafverfolgungsoperation hat Tycoon2FA, eine große Phishing-as-a-Service (PhaaS)-Plattform, die für den Versand von mehreren zehn Millionen Phishing-E-Mails pro Monat verantwortlich ist, gestoppt. Im Rahmen der koordinierten Aktion beschlagnahmten die Behörden 330 Domänen, die von dem kriminellen Dienst genutzt wurden, einschließlich Phishing-Seiten und Backend-Kontrollpanels, und nahmen sie vom Netz.

Die technische Unterbrechung wurde von Microsoft mit Unterstützung mehrerer Partner aus dem Privatsektor durchgeführt, während Strafverfolgungsbehörden in Lettland, Litauen, Portugal, Polen, Spanien und dem Vereinigten Königreich die Beschlagnahmung der Infrastruktur vornahmen. Die Ermittlungen begannen, nachdem Trend Micro Informationen über die Bedrohung weitergegeben hatte, und wurden durch die Cybercrime-Netzwerke von Europol koordiniert.

Tycoon2FA ist seit mindestens August 2023 aktiv und ermöglichte es Cyberkriminellen, den Schutz der Multi-Faktor-Authentifizierung mit Hilfe einer "Adversary-in-the-Middle"-Phishing-Technik zu umgehen. Die Plattform fing Anmeldedaten und Sitzungscookies in Echtzeit ab und ermöglichte es Angreifern, authentifizierte Sitzungen für Dienste wie Microsoft 365 und Gmail zu kapern.

Der über Telegram-Abonnements verkaufte Dienst senkte die Hürde für Cyberkriminelle, ausgeklügelte MFA-Umgehungsangriffe gegen Organisationen weltweit zu starten.

Angreifer missbrauchen OAuth-Umleitungen zur Umgehung von Phishing-Schutzmaßnahmen

Sicherheitsforscher haben eine Phishing-Technik aufgedeckt, bei der legitime OAuth-Umleitungsmechanismen zur Umgehung von E-Mail- und Browser-Schutzmaßnahmen missbraucht werden. Die Angriffe zielen in erster Linie auf Regierungsbehörden und Organisationen des öffentlichen Sektors ab und verwenden Phishing-E-Mails, die scheinbar legitime Authentifizierungsanfragen enthalten.

Die Nachrichten geben sich oft als gewöhnliche Geschäftsmitteilungen aus, wie z. B. Anfragen zur elektronischen Unterschrift, Benachrichtigungen der Sozialversicherung, Einladungen zu Besprechungen, Zurücksetzen von Passwörtern oder finanzielle Aktualisierungen. In einigen Fällen sind die bösartigen OAuth-Links in PDF-Dateien eingebettet, um die Erkennung durch Sicherheitstools zu umgehen.

Laut den Forschern von Microsoft Defender registrieren die Angreifer bösartige OAuth-Anwendungen in von ihnen kontrollierten Tenants und konfigurieren Umleitungs-URLs, die auf die Infrastruktur der Angreifer verweisen. Wenn die Opfer mit der Authentifizierungsanfrage interagieren, lösen manipulierte Parameter Authentifizierungsfehler aus, die die Benutzer unbemerkt auf bösartige Websites umleiten.

Einige Opfer werden auf Phishing-Seiten weitergeleitet, die von Angreifer-in-the-Middle-Frameworks betrieben werden, die in der Lage sind, Sitzungscookies abzufangen und die Multi-Faktor-Authentifizierung zu umgehen. Andere werden umgeleitet, um bösartige Dateien herunterzuladen, die Malware über PowerShell- und DLL-Side-Loading-Techniken bereitstellen, was verdeutlicht, wie sich identitätsbasierte Angriffsmethoden weiterentwickeln.

Ransomware und OT-Cybervorfälle nehmen im maritimen Sektor zu

Ein neuer Bericht von Cydome hebt die starke Zunahme von Cyber-Bedrohungen hervor, die auf Systeme der Betriebstechnologie (OT) im maritimen Sektor abzielen. Ransomware-Angriffe auf maritime OT-Umgebungen stiegen im Jahr 2025 um 150 %, während Angriffe auf Netzwerk-Edge-Geräte wie Router, VPNs und Firewalls um 800 % zunahmen. Der Bericht stellte außerdem fest, dass 22 % der Unternehmen im Laufe des Jahres einen Vorfall im Bereich OT oder industrielle Kontrollsysteme (ICS) erlebten, wobei viele Angriffe durch unbefugten externen Zugriff begannen.

Moderne Schifffahrtsbetriebe werden durch Satellitenkommunikation und IoT-Sensoren zunehmend vernetzt, wodurch Schiffe von isolierten Systemen zu einem Teil eines globalen digitalen Netzwerks werden. Dieser Wandel hat die Angriffsfläche für Cyberkriminelle erheblich vergrößert. Der Bericht warnt auch vor einem dramatischen Anstieg von GPS-Spoofing-Vorfällen: Täglich werden rund 1.000 Störungen gemeldet, von denen etwa 40.000 Schiffe betroffen sind und die ernsthafte Sicherheitsbedenken aufwerfen.

Den Forschern zufolge verändert künstliche Intelligenz die Cyber-Bedrohungslandschaft rapide. KI-gestütztes Phishing, Identitätsbetrug und die automatische Entdeckung von Sicherheitslücken beschleunigen die Geschwindigkeit und das Ausmaß von Angriffen. Angesichts von fast 50.000 neuen Schwachstellen, die im Jahr 2025 bekannt werden und von denen viele innerhalb weniger Tage als Waffe eingesetzt werden können, werden Unternehmen dringend aufgefordert, die OT-Transparenz zu erhöhen, die Patch-Verwaltung zu verbessern und die Infrastruktur für den Fernzugriff zu sichern, um wichtige maritime Abläufe zu schützen.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.