Curly COMrades nutzen Virtualisierung zur Umgehung der EDR-Erkennung

In einem neuen Bericht von Bitdefender wurde beobachtet, dass die Bedrohungsakteure namens Curly COMrades Virtualisierung einsetzen, um Sicherheitswerkzeuge zu umgehen und maßgeschneiderte Schadsoftware zu installieren. Durch die Aktivierung von Hyper-V auf kompromittierten Windows-10-Systemen startete die Gruppe eine leichtgewichtige virtuelle Maschine mit Alpine Linux, um CurlyShell und CurlCat auszuführen – Werkzeuge für Reverse-Shell-Zugriff und Proxy-Kommunikation.

Seit Ende 2023 aktiv und mit russischen Interessen verbunden, haben Curly COMrades gezielt Georgien und Moldawien angegriffen und dabei fortschrittliche Techniken zur Aufrechterhaltung eines dauerhaften Zugriffs verwendet. Ihr Toolkit umfasst RuRat, Mimikatz und MucorAgent, wobei die Schadsoftware in virtuellen Umgebungen isoliert wird, um die Erkennung durch Endpunktlösungen zu vermeiden. Die Kommunikation mit den Command-and-Control-Servern erfolgt verschlüsselt über HTTP-Anfragen, und die Gruppe zeigt Anpassungsfähigkeit durch die kontinuierliche Einführung neuer Werkzeuge.

Die Zusammenarbeit von Bitdefender mit Georgia CERT offenbarte zusätzliche Infrastruktur und langfristige Zugriffsstrategien, was die zunehmende Raffinesse virtualisierungsbasierter Cyberbedrohungen unterstreicht.

Schwedische Datenschutzbehörde untersucht Miljödata-Datenleck mit 1,5 Millionen Betroffenen

Die Schwedische Datenschutzbehörde (IMY) hat eine Untersuchung zu einem Cyberangriff auf den IT-Dienstleister Miljödata eingeleitet, bei dem die persönlichen Daten von bis zu 1,5 Millionen Menschen kompromittiert wurden. Miljödata bietet Dienste für etwa 80 % der schwedischen Gemeinden an und bestätigte im August, dass Angreifer Daten gestohlen und ein Lösegeld von 1,5 Bitcoin gefordert hatten, um deren Veröffentlichung zu verhindern.

Der Vorfall beeinträchtigte den Betrieb in mehreren Regionen, darunter Halland, Gotland und Karlstad. IMY bestätigte, dass sensible persönliche Informationen später im Darknet veröffentlicht wurden, was eine Untersuchung möglicher DSGVO-Verstöße auslöste. Die Untersuchung konzentriert sich auf die Sicherheitspraktiken von Miljödata und darauf, wie die Gemeinden mit den Daten der Bürger umgegangen sind – insbesondere mit denen von Kindern und geschützten Identitäten.

Die Gruppe Datacarry hat die Verantwortung übernommen und ein 224MB großes Archiv online veröffentlicht. Die Website Have I Been Pwned hat die Daten aufgenommen und etwa 870.000 Datensätze identifiziert.

M&S-Gewinn bricht nach Cyberangriff im April ein – £100 Millionen Verlust

Der Vorsteuergewinn von Marks & Spencer (M&S) fiel von £391,9 Millionen auf nur £3,4 Millionen in den sechs Monaten bis zum 27. September, nachdem ein schwerer Cyberangriff im April 2025 die Systeme des Unternehmens lahmgelegt hatte. Die Schließung der Website und Unterbrechungen in der Lieferkette beeinträchtigten den Gesamtumsatz, während Lebensmittelabteilungen unter Preisnachlässen und Lagerverlusten litten, die durch manuelle Zuteilung verursacht wurden.

M&S meldete £101,6 Millionen an direkten Kosten durch den Vorfall, darunter £82,7 Millionen für Reaktion und Wiederherstellung sowie £18,9 Millionen an Drittanbieterkosten, teilweise ausgeglichen durch £100 Millionen an Cyberversicherung. CEO Stuart Machin lobte die Widerstandsfähigkeit des Unternehmens und bekräftigte den Fokus auf Erholung und Kundenservice.

Der Vorfall zeigt, dass selbst etablierte Unternehmen angesichts wachsender und komplexer Cyberbedrohungen verwundbar bleiben. Er verdeutlicht auch, dass Cyberversicherungen zwar finanzielle Belastungen abmildern können, aber selten die Gesamtkosten eines Angriffs decken. Letztlich bleiben Prävention und Vorbereitung die beste Verteidigung.

Google entdeckt Zunahme von KI-gesteuerter Malware mit LLMs zur dynamischen Tarnung

Die Threat Intelligence Group von Google hat einen starken Anstieg von Malware festgestellt, die Large Language Models (LLMs) integriert, um sich während der Ausführung anzupassen – ein bedeutender Wandel in den Taktiken von Cyberbedrohungen. Diese neue Technik der „Just-in-Time“-Selbstmodifikation ermöglicht es dem Schadcode, sich während der Laufzeit zu verändern, was die Erkennung erheblich erschwert.

Beispiele sind PromptFlux, ein experimenteller VBScript-Dropper, der Googles Gemini-Modell nach neuer Verschleierung fragte, sowie PromptSteal, ein Datenminer, der in der Ukraine eingesetzt wurde. Google hat den Zugriff auf Gemini im Zusammenhang mit diesen Operationen inzwischen blockiert. Weitere Entdeckungen umfassen FruitShell, eine PowerShell-basierte Reverse Shell; QuietVault, ein JavaScript-Credential-Stealer, der auf GitHub-Tokens abzielt; und PromptLock, eine plattformübergreifende Ransomware auf Lua-Basis.

Neben Malware haben staatlich unterstützte Akteure aus China, Iran und Nordkorea KI-Werkzeuge missbraucht, um Phishing, Exploit-Recherche und Datendiebstahl zu erleichtern. Untergrundforen vermarkten ebenfalls KI-basierte Cybercrime-Tools, was auf eine rasche Entwicklung hin zu automatisierten, adaptiven Bedrohungsökosystemen hindeutet.

Italien von über 10 % der weltweiten Cyberangriffe Anfang 2025 betroffen – Hacktivismus als Haupttreiber

Italien war in der ersten Hälfte des Jahres 2025 für 10,2 % aller weltweiten Cyberangriffe verantwortlich, ein Anstieg gegenüber 9,9 % im gleichen Zeitraum des Vorjahres, laut einem neuen Bericht der Italienischen Vereinigung für Informationssicherheit (Clusit). Dies stellt einen deutlichen Anstieg gegenüber 2021 dar, als Italien nur 3,4 % der globalen Vorfälle ausmachte.

Die Analyse von Clusit zeigt einen dramatischen Anstieg von 600 % bei Angriffen auf Regierungs- und Militärsektoren, die nun 38 % des nationalen Gesamtvolumens ausmachen. Die Mehrheit dieser Vorfälle wird politisch oder sozial motiviertem Hacktivismus zugeschrieben, vermutlich koordiniert durch russische Regierungsstrukturen.

Hacktivismus machte 54 % der Cybervorfälle in Italien aus und übertraf damit erstmals finanziell motivierte Cyberkriminalität. Traditionelle Angriffe mit dem Ziel des Datendiebstahls oder finanziellen Gewinns machten die verbleibenden 46 % aus, was auf eine deutliche Veränderung der Bedrohungslage im Land hinweist.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.