Storm-1175 nutzt kritische GoAnywhere MFT-Sicherheitslücke für Ransomware-Angriffe aus 

 
Die Cybercrime-Gruppe „Storm-1175“ hat seit mindestens dem 11. September eine schwerwiegende Sicherheitslücke in GoAnywhere MFT, CVE-2025-10035, in Medusa-Ransomware-Kampagnen ausgenutzt. Die Schwachstelle wird durch eine Deserialisierungsanfälligkeit im License Servlet von Fortra verursacht und ermöglicht Remote-Angriffe mit geringer Komplexität ohne Benutzerinteraktion. 
Obwohl Fortra am 18. September einen Patch veröffentlicht hat, identifizierten Forscher über 500 exponierte Instanzen online, und es ist unklar, wie viele noch ungepatcht sind. Eine Woche nach der Veröffentlichung wurde die Schwachstelle bereits aktiv ausgenutzt, mit Hinweisen auf Zero-Day-Aktivitäten seit dem 10. September. 
Microsoft bestätigte, dass Storm-1175 die Lücke für den Erstzugriff nutzte und anschließend Persistenz über SimpleHelp und MeshAgent aufrechterhielt. Die Gruppe führte Aufklärung durch, bewegte sich lateral mit Remote Desktop, exfiltrierte Daten mit Rclone und setzte Medusa-Ransomware ein.  

Microsoft und Fortra fordern Administratoren dringend auf, sofort zu aktualisieren und Logdateien auf Kompromittierungsanzeichen zu überprüfen. 

Millionen Nutzer gefährdet, da Microsoft nächste Woche den Support für Windows 10 einstellt 

 
Etwa 5 Millionen Windowsnutzer in der UK sind erhöhten Cyberrisiken ausgesetzt, da Microsoft den Support für Windows 10 am 14. Oktober einstellt, so die Verbraucherorganisation Which?. Von geschätzten 21 Millionen Nutzern im Land planen ein Viertel, das veraltete System weiterhin zu verwenden, wodurch sie anfällig für Malware, Viren und Betrugsversuche werden. Mehr als ein Drittel derjenigen, die keine Maßnahmen ergreifen wollen, sind über 55 Jahre alt. 
Der Schritt wird auch zur Zunahme von Elektroschrott beitragen, da Millionen von PCs obsolet werden, wenn sie keine neuere Software ausführen können. Microsoft ruft die Nutzer dazu auf, nach Möglichkeit auf Windows 11 zu aktualisieren oder eine einjährige Verlängerung zu erwerben, um mehr Zeit für den Umstieg zu gewinnen. 
Yusuf Mehdi, Executive Vice President von Microsoft, warnte, dass nicht unterstützte Geräte anfälliger für Cyberbedrohungen werden und manche Anwendungen möglicherweise nicht mehr richtig funktionieren.  

Nutzer sollten ihre Systeme umgehend überprüfen, um sich vor Angriffen zu schützen. 

 Clop nutzt Oracle EBS Zero-Day zum Datendiebstahl aus 

 Die Ransomware-Gruppe „Clop“ hat seit Anfang August eine kritische Zero-Day-Schwachstelle in der Oracle E-Business Suite (EBS) ausgenutzt, wie CrowdStrike berichtet. Die Schwachstelle, bekannt als CVE-2025-61882, betrifft die BI Publisher Integration-Komponente und ermöglicht es nicht authentifizierten Angreifern, über Angriffe mit geringer Komplexität und ohne Benutzerinteraktion Remote-Code auf verwundbaren Systemen auszuführen. Oracle veröffentlichte am Wochenende einen Patch. 
Forscher stellten fest, dass der Fehler Teil einer Schwachstellenkette ist, die Remote-Code-Ausführung mit nur einer einzigen HTTP-Anfrage ermöglicht. Der Exploit wurde ursprünglich im Mai von der Gruppe „Scattered Lapsus$ Hunters“ online geleakt. 
CrowdStrike bestätigte, dass Clop diesen Zero-Day zum Diebstahl sensibler Dokumente genutzt hat, mit erster Aktivität am 9. August. Analysten gehen davon aus, dass GRACEFUL SPIDER wahrscheinlich beteiligt ist, warnen aber, dass auch andere Gruppen die Schwachstelle ausnutzen könnten. Die Ermittlungen dauern an. 

Salesforce weigert sich, Lösegeld nach massiven Datendiebstählen zu zahlen 

Salesforce hat bestätigt, dass das Unternehmen nicht mit den Tätern der groß angelegten Datendiebstahlkampagnen, die seine Kunden betrafen, verhandeln oder Lösegeld zahlen wird. In einer E-Mail an Kunden verwies das Unternehmen auf „glaubwürdige Bedrohungsinformationen“, wonach die Angreifer planten, die gestohlenen Daten zu veröffentlichen. Angeblich befinden sich auf „ “ eigenen Leak-Seite fast 1 Milliarde Datensätze von 39 Großkonzernen, darunter FedEx, Disney, Marriott, Google, Cisco und IKEA, um diese zu erpressen. 
Im Jahr 2025 wurden zwei gezielte Cyberangriffe identifiziert, die auf OAuth-Integrationen in CRM-Systemen abzielten und zur unbefugten Offenlegung sensibler Unternehmensdaten führten.  Die erste Angriffswelle nutzte Social-Engineering-Techniken, um Mitarbeitende dazu zu verleiten, schädliche OAuth-Anwendungen mit ihren Salesforce-Instanzen zu verknüpfen. Durch diese Manipulation erhielten Angreifer Zugriff auf interne Datenstrukturen und konnten potenziell vertrauliche Informationen extrahieren. Im August erfolgte eine zweite Kampagne, bei der gestohlene OAuth-Tokens von SalesLoft verwendet wurden, um CRM-Daten von mehreren hundert Unternehmen – darunter auch führende Technologieunternehmen – systematisch zu exfiltrieren. 

Aktueller Stand und weitere Entwicklungen 

Salesforce hat sich inzwischen klar zu den Vorfällen positioniert. In einer offiziellen Stellungnahme bestätigte das Unternehmen, dass es nicht auf Erpressungsversuche eingehen, keine Verhandlungen führen und keine Zahlungen leisten wird. Die Untersuchungen erfolgen in Zusammenarbeit mit externen Forensik-Experten und Strafverfolgungsbehörden. Bemerkenswert ist, dass die zugehörige Erpressungsplattform inzwischen offline genommen wurde. 

Zunahme von Cyberangriffen auf Lieferketten im Kontext unternehmensweiter Störungen 

Laut einer aktuellen Erhebung des Chartered Institute of Procurement and Supply (CIPS) berichten nahezu ein Drittel der befragten Führungskräfte von einem deutlichen Anstieg cyberkrimineller Aktivitäten innerhalb ihrer Lieferketten in den vergangenen sechs Monaten. 

Cyberbedrohungen haben sich damit zu einem der zentralen Risikofaktoren für Einkaufsverantwortliche in den Branchen Fertigung, Energie und Technologie entwickelt – gleichrangig mit geopolitischen Unsicherheiten und handelspolitischen Restriktionen. 

Mehrere prominente Vorfälle verdeutlichen die Tragweite: 

Ein Cyberangriff auf Jaguar Land Rover führte zu einem einmonatigen Produktionsstopp mit geschätzten Gewinneinbußen von rund 120 Millionen Pfund. Auch Sicherheitsverletzungen bei Marks & Spencer, sowie der Co-op, verursachten Verluste in zweistelliger Millionenhöhe. In Japan sah sich Asahi gezwungen, die Produktion in 30 Werken aufgrund eines Systemausfalls vorübergehend einzustellen. 

Die CIPS-Studie zeigt, dass 29 % der befragten Manager Angriffe auf Unternehmen innerhalb ihrer Lieferketten verzeichneten. Die Organisation appelliert eindringlich an Unternehmen, ihre digitalen Schutzmaßnahmen zu verstärken, um Betriebsabläufe abzusichern und das Vertrauen von Kunden in zunehmend vernetzte globale Handelsstrukturen zu bewahren. 

 Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.