Neue Studie zeigt zunehmende Ransomware-Bedrohung für den Bausektor

Eine neue Studie hat gezeigt, dass die Besorgnis über die Cybersicherheit in der Bau- und Immobilienbranche zunimmt. 32 % der Branchenführer machen sich inzwischen Sorgen über Cyberbedrohungen. Eine Umfrage von Beazley ergab, dass der Sektor das geringste Vertrauen aller befragten Branchen hat. Nur 74 % glauben, dass sie auf moderne Cyberrisiken vorbereitet sind.

Die Ergebnisse spiegeln wider, dass Cyberkriminalität zunehmend zu einem betrieblichen und geschäftlichen Risiko wird und nicht nur ein IT-Problem darstellt. Die Forscher warnten, dass KI-gesteuerte Phishing-Kampagnen und automatisierte Aufklärung es Bedrohungsakteuren ermöglichen, Angriffe mit größerer Geschwindigkeit und in größerem Umfang zu starten, was es schwieriger macht, Vorfälle zu erkennen und einzudämmen.

In einer separaten Studie von QBE wurde Ransomware als die größte Cyber-Bedrohung für Bauunternehmen identifiziert, wobei Vorfälle durchschnittlich 24 Tage Ausfallzeit verursachen. In dem Bericht wurde auch ein Anstieg der IoT-Malware-Aktivitäten, die auf den Sektor abzielen, um 410 % im Jahr 2025 festgestellt.

Branchenexperten fordern Unternehmen nun auf, die Cybersicherheit in die allgemeine Projektrisikoplanung einzubeziehen, und warnen davor, dass Angriffe Lieferketten unterbrechen, Projekte verzögern und die Kosten erheblich erhöhen können.

NCSC warnt vor russischer DNS-Hijacking-Kampagne, die auf Router abzielt

Das National Cyber Security Centre (NCSC) hat eine neue Warnung herausgegeben, in der es davor warnt, dass vom russischen Staat unterstützte Cyber-Akteure weit verbreitete Internet-Router kompromittieren, um den Datenverkehr der Nutzer heimlich über eine bösartige Infrastruktur umzuleiten.

Dem Bericht zufolge nutzt die als APT28 bekannte Gruppe anfällige Router aus, um Angriffe auf das Domain Name System (DNS) zu starten. Diese Angriffe ermöglichen es den Bedrohungsakteuren, den Internetverkehr abzufangen und Anmeldeinformationen, einschließlich Passwörter und Authentifizierungstoken, von Web- und E-Mail-Diensten zu stehlen.

Es wird vermutet, dass die Kampagne opportunistisch ist, wobei die Angreifer eine große Anzahl von Geräten ins Visier nehmen, bevor sie sich auf Organisationen oder Einzelpersonen von geheimdienstlichem Interesse konzentrieren. APT28 wurde bereits mit der russischen GRU-Einheit 26165 in Verbindung gebracht und ist auch unter Namen wie Fancy Bear und Sofacy bekannt.

Die NCSC warnte, dass kompromittierte Netzwerkgeräte feindlichen Akteuren langfristigen Zugang und Einblick in sensible Kommunikation ermöglichen können. Unternehmen werden dringend aufgefordert, die Routersicherheit zu erhöhen, Schwachstellen schnell zu beheben, Verwaltungsschnittstellen zu sichern und eine mehrstufige Authentifizierung zu aktivieren, um das Risiko einer Kompromittierung zu verringern.

Die Empfehlung weist auf die anhaltende Bedrohung durch staatlich unterstützte Cyberoperationen hin, die auf kritische Internet-Infrastrukturen und alltägliche Netzwerkgeräte abzielen.

Palo Alto Networks warnt vor aktiven Zero-Day-Angriffen auf Firewalls

Palo Alto Networks hat seine Kunden gewarnt, dass eine kritische, ungepatchte Schwachstelle, die das PAN-OS User-ID Authentication Portal betrifft, aktiv ausgenutzt wird.

Bei der als CVE-2026-0300 bezeichneten Schwachstelle handelt es sich um einen Pufferüberlauf, der es nicht authentifizierten Angreifern ermöglichen könnte, beliebigen Code mit Root-Rechten auf gefährdeten Firewalls der PA-Serie und VM-Serie auszuführen. Das Problem betrifft das User-ID Authentication Portal, auch bekannt als Captive Portal, das zur Authentifizierung von Benutzern verwendet wird, deren Identitäten nicht automatisch von der Firewall zugeordnet werden können.

Nach Angaben von Palo Alto Networks wurde die Schwachstelle bisher nur in begrenztem Umfang ausgenutzt und betrifft vor allem Unternehmen, die das Portal dem öffentlichen Internet oder nicht vertrauenswürdigen IP-Adressen ausgesetzt haben. Die Sicherheitsforscher von Shadowserver verfolgen derzeit mehr als 5.800 gefährdete PAN-OS VM-Series Firewalls online.

Der Hersteller hat noch keinen Patch veröffentlicht, sagt aber, dass Softwarekorrekturen ab dem 13. Mai 2026 zu erwarten sind. In der Zwischenzeit werden Unternehmen dringend aufgefordert, den Portalzugang auf vertrauenswürdige interne Netzwerke zu beschränken oder die Funktion nach Möglichkeit ganz zu deaktivieren.

Die Warnung setzt den wachsenden Trend fort, dass Bedrohungsakteure aggressiv auf Firewall-Infrastrukturen und Sicherheitsanwendungen im Internet zugreifen.

Vimeo-Verletzung offenbart Daten von mehr als 119.000 Nutzern

Die Erpressergruppe ShinyHunters hat sich zu einem Cyberangriff auf die Videoplattform Vimeo bekannt, durch den die persönlichen Daten von mehr als 119.000 Nutzern offengelegt wurden.

Laut Have I Been Pwned, einem Dienst zur Meldung von Datenschutzverletzungen, umfassen die gestohlenen Daten E-Mail-Adressen und in einigen Fällen auch Benutzernamen. Vimeo gab die Sicherheitsverletzung im April bekannt und brachte den Vorfall mit einer Kompromittierung von Anodot in Verbindung, einem Drittanbieter für die Erkennung von Datenanomalien, der in seine Systeme integriert ist.

Vimeo gab an, dass die Angreifer in erster Linie auf technische Daten, Videotitel und Metadaten zugriffen und bestätigte, dass Anmeldedaten, Zahlungskarteninformationen und Videoinhalte nicht betroffen waren. Nach dem Vorfall deaktivierte das Unternehmen die Anodot-Anmeldedaten, entfernte die Integration und beauftragte externe Sicherheitsspezialisten mit der Untersuchung des Vorfalls.

Nach gescheiterten Erpressungsversuchen hat ShinyHunters Berichten zufolge ein 106 GB großes Archiv gestohlener Daten auf seiner Dark-Web-Site veröffentlicht. Die Gruppe hat sich zunehmend auf SaaS-Umgebungen und Single-Sign-On-Systeme von Unternehmen konzentriert und verwendet kompromittierte Anmeldedaten, um auf verbundene Cloud-Plattformen und sensible Geschäftsdaten zuzugreifen.

Der Verstoß verdeutlicht die wachsenden Risiken, die mit der Integration von Drittanbietern und der Kompromittierung der Lieferkette in modernen Cloud-Umgebungen verbunden sind.

Neues Mirai-basiertes Botnet zielt auf Android- und IoT-Geräte für DDoS-Angriffe

Cybersecurity-Forscher haben ein neues, von Mirai abgeleitetes Botnet mit dem Namen xlabs_v1 aufgedeckt, das auf im Internet exponierte Android- und IoT-Geräte abzielt, um ein DDoS-Netzwerk (Distributed Denial-of-Service) aufzubauen.

Laut den Forschern von Hunt.io ist die Malware speziell auf Geräte mit Android Debug Bridge (ADB) am TCP-Port 5555 ausgerichtet. Dazu gehören Android-TV-Boxen, Smart-TVs, Set-Top-Boxen und andere IoT-Hardware, bei denen ADB standardmäßig aktiviert ist. Die Malware unterstützt außerdem mehrere Hardware-Architekturen, was darauf hindeutet, dass sie auch Router in Wohngebieten und andere angeschlossene Geräte angreifen kann.

Den Forschern zufolge wird das Botnet als DDoS-for-hire-Service betrieben, der sich auf Angriffe auf Spieleserver und Minecraft-Hosts konzentriert. Es unterstützt mehr als 20 Angriffsmethoden über TCP- und UDP-Protokolle und enthält Funktionen zur Umgehung von DDoS-Schutzmaßnahmen für Verbraucher.

Die Malware enthält auch Funktionen zur Messung der Bandbreite infizierter Geräte, die es den Betreibern ermöglichen, kompromittierte Systeme in Preisklassen für Kunden einzuteilen, die Angriffe kaufen. Die Forscher stellten fest, dass das Design des Botnetzes dem Umfang und der Vielfalt der Angriffe Vorrang vor der Raffinesse einräumt.

Die Entdeckung unterstreicht die anhaltenden Risiken, die von unzureichend gesicherten IoT- und Verbrauchergeräten ausgehen, die direkt mit dem Internet verbunden sind.

ShinyHunters behauptet Diebstahl von 240 Millionen Bildungsdaten bei Instructure

Die Erpressergruppe ShinyHunters behauptet, mehr als 240 Millionen Datensätze von Studenten, Lehrern und Mitarbeitern weltweit gestohlen zu haben.

Das Unternehmen, das vor allem für sein Lernmanagementsystem Canvas bekannt ist, das von Schulen und Universitäten auf der ganzen Welt genutzt wird, erklärte, dass es mit externen Cybersicherheitsexperten und Strafverfolgungsbehörden zusammenarbeitet, um den Vorfall zu untersuchen. Die Kunden wurden außerdem aufgefordert, den API-Zugang neu zu autorisieren, um auf den Vorfall zu reagieren.

Nach Angaben von ShinyHunters umfassen die gestohlenen Daten fast 15.000 Bildungseinrichtungen in Nordamerika, Europa und im asiatisch-pazifischen Raum. Die Gruppe behauptet, dass die Informationen Namen, E-Mail-Adressen, Kurseinschreibungsdetails und Milliarden privater Nachrichten umfassen, die zwischen Schülern und Lehrern ausgetauscht wurden.

Die Bedrohungsakteure behaupten auch, dass sie während des Angriffs Zugriff auf verbundene Salesforce-Umgebungen erlangt haben. Der volle Umfang der Sicherheitsverletzung wurde zwar noch nicht von unabhängiger Seite bestätigt, doch das Ausmaß des behaupteten Datendiebstahls würde ihn zu einem der größten Cybervorfälle machen, die in diesem Jahr im Bildungssektor gemeldet wurden.

Der Vorfall verdeutlicht, dass Bildungsplattformen zunehmend ins Visier von Cyberkriminellen geraten, die es auf große Mengen persönlicher und sensibler Daten abgesehen haben.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.