Großbritannien stellt das Gesetz zur Cybersicherheit und Resilienz vor

Großbritannien hat das Gesetz zur Cybersicherheit und Resilienz vorgestellt – eine umfassende Reform, die darauf abzielt, die nationale Sicherheit zu stärken und essenzielle Dienste vor wachsenden Cyberbedrohungen zu schützen. Die Gesetzgebung wird die Cybersicherheitsstandards in Sektoren wie Gesundheitswesen, Energie, Wasser und Transport erhöhen, um sicherzustellen, dass Störungen wie abgesagte NHS-Termine oder Unterbrechungen in Lieferketten deutlich unwahrscheinlicher werden.

Erstmals werden mittelgroße und große Anbieter von Managed Services, die IT-Support, Cybersicherheit oder Helpdesk-Dienste für öffentliche Einrichtungen und Unternehmen anbieten, reguliert. Sie müssen bedeutende Vorfälle innerhalb enger Zeitrahmen melden und robuste Reaktionspläne vorhalten. Regulierungsbehörden erhalten zudem neue Befugnisse, um kritische Lieferanten zu benennen und strengere Strafen bei schwerwiegenden Versäumnissen durchzusetzen.

Das Gesetz bezieht auch Rechenzentren ein und führt Schutzmaßnahmen für intelligente Energiesysteme ein, was die wachsende Bedeutung digitaler Infrastruktur widerspiegelt. Da ein schwerwiegender Cybervorfall mittlerweile durchschnittlich über £190.000 kostet, argumentiert die Regierung, dass die Reformen entscheidend sind, um die nationale Resilienz zu verbessern und wirtschaftliche Risiken zu senken.

Microsoft veröffentlicht Patches für 63 Sicherheitslücken, darunter eine aktiv ausgenutzte Zero-Day im Windows-Kernel

Microsoft hat Updates für 63 neu identifizierte Sicherheitslücken in seinen Produkten veröffentlicht, darunter eine Zero-Day-Schwachstelle im Windows-Kernel, die bereits in realen Angriffen ausgenutzt wird. Vier Schwachstellen sind als kritisch und 59 als wichtig eingestuft und betreffen Probleme von Privilegieneskalation bis hin zu Remote-Code-Ausführung und Informationsoffenlegung.

Die schwerwiegendste ist CVE-2025-62215, eine Schwachstelle zur Privilegieneskalation, verursacht durch eine Race Condition im Windows-Kernel. Angreifer mit niedrigem Zugriffslevel können den Fehler ausnutzen, um SYSTEM-Rechte zu erlangen, indem sie wiederholt eine „Double Free“-Speicherkorruption auslösen und so die Kontrolle über das betroffene Gerät übernehmen. Microsoft entdeckte die Schwachstelle intern, aber Details zur aktiven Ausnutzung sind noch begrenzt.

Weitere Patches beheben schwerwiegende Buffer Overflows in der Grafikkomponente von Microsoft und der GUI des Windows Subsystem for Linux, die beide eine Remote-Code-Ausführung ermöglichen könnten. Eine separate Kerberos-Schwachstelle zur Privilegieneskalation mit dem Codenamen CheckSum erlaubt es Angreifern, Benutzer zu imitieren und möglicherweise ganze Active-Directory-Domänen zu kompromittieren. Organisationen, die AD mit aktivierter Kerberos-Delegierung nutzen, sollten Updates priorisieren.

DanaBot taucht sechs Monate nach der Operation Endgame mit neuer Infrastruktur wieder auf

Der Banktrojaner DanaBot ist mit einer neuen Version zurückgekehrt, nur ein halbes Jahr nachdem seine Infrastruktur durch internationale Strafverfolgungsbehörden gestört wurde. Forscher haben eine überarbeitete Variante, Version 669, identifiziert, die nun Tor-basierte Command-and-Control-Domains und Backconnect-Knoten verwendet, um Erkennung zu vermeiden und die operative Fähigkeit wiederherzustellen.

DanaBot begann als Delphi-basierter Banktrojaner, der über Phishing und Malvertising verbreitet wurde, und entwickelte sich später zu einem modularen Informationsdiebstahl- und Loader-Malware, die auf im Browser gespeicherte Anmeldedaten und Kryptowährungs-Wallets abzielt. Trotz des großen Schlages durch die Operation Endgame im Mai wurden die Betreiber hinter DanaBot nie vollständig zerschlagen, was die Rückkehr der Malware mit aktualisierter Infrastruktur und erneuter Aktivität ermöglichte.

Zscaler hat außerdem mehrere Kryptowährungs-Wallets in BTC, ETH, LTC und TRX mit aktuellen DanaBot-Kampagnen in Verbindung gebracht, was die finanzielle Motivation hinter seiner Beharrlichkeit unterstreicht. Infektionswege umfassen weiterhin bösartige E-Mails, SEO-Vergiftung und Malvertising, wobei einige Angriffe als Einstiegspunkt für Ransomware dienen.

Organisationen wird empfohlen, ihre Sicherheitswerkzeuge zu aktualisieren und die neuen von Zscaler veröffentlichten IoCs zu blockieren, um die Exposition gegenüber der wiederauflebenden Bedrohung zu verringern.

Lateinamerika wird zur am stärksten cyberangegriffenen Region, während globale Bedrohungen weiter steigen

Neue Forschungsergebnisse zeigen, dass Lateinamerika Afrika als am stärksten angegriffene Region für Cyberattacken überholt hat. Im Oktober sahen sich Organisationen in Lateinamerika durchschnittlich 2.966 Angriffen pro Woche ausgesetzt, ein Anstieg von 16 % gegenüber dem Vorjahr. Afrika folgte mit 2.782 wöchentlichen Angriffen, verzeichnete jedoch eine Gesamtreduktion von 15 %, was Forscher auf steigende Investitionen in Cybersicherheit auf dem Kontinent zurückführen, insbesondere in externes Risikomanagement und verbesserte DDoS-Abwehr.

Weltweit verzeichneten Organisationen durchschnittlich 1.938 Angriffe pro Woche, ein Anstieg von 5 % gegenüber dem Vorjahr. Nordamerika erlebte den stärksten Anstieg mit einem Plus von 18 %, hauptsächlich getrieben durch Ransomware, die im Oktober 801 öffentlich gemeldete Vorfälle verursachte. Qilin, Akira und Sinobi machten fast 40 % aller Fälle aus.

Der Bericht hebt auch wachsende Risiken der Datenexposition im Zusammenhang mit der Nutzung von GenAI in Unternehmen hervor, wobei eine von 44 Eingaben sensible Informationen mit hohem Risiko enthält. Bildung blieb weltweit die am stärksten angegriffene Branche, während die Hotellerie einen starken Anstieg von 40 % verzeichnete, da die Hochsaison näher rückt.

Niederländischer Sender RTV Noord von Cyberangriff betroffen

Der niederländische TV- und Radiosender RTV Noord wurde durch einen Cyberangriff stark beeinträchtigt, der seine digitalen Systeme lahmlegte und die Moderatoren zwang, live auf Sendung zu improvisieren. Der Vorfall, der am 6. November entdeckt wurde, ließ das Team der Morgenshow „De Ochtendploeg“ ohne Computerzugang zurück, sodass sie auf CDs und sogar Vinylplatten zurückgreifen mussten, um die Programme am Laufen zu halten.

Obwohl der Sender die Art des Angriffs nicht offengelegt hat, bestätigte er, dass Eindringlinge eine Nachricht im Netzwerk hinterließen, was stark auf Ransomware hindeutet. Angesichts ähnlicher jüngster Vorfälle und des Ausmaßes der Störung ist die Wahrscheinlichkeit einer Lösegeldforderung oder einer Drohung mit Datenlecks hoch.

Die Auswirkungen sind besonders gravierend, da RTV Noord auch als offizieller Notfallsender für die Region Groningen fungiert, was bedeutet, dass jede Unterbrechung die Bereitstellung kritischer öffentlicher Informationen behindern könnte. Die internen Systeme waren so stark betroffen, dass die Redaktion nur über WhatsApp erreichbar war.

Der Angriff erfolgt zu einer Zeit, in der Ransomware-Gruppen zunehmend Sender ins Visier nehmen, um maximalen Druck auszuüben – Spaniens KISS-FM wurde am selben Tag ebenfalls von Rhysida beansprucht.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.