US-Justizministerium beschlagnahmt vier Domains die weltweit operierende Verschlüsselungsdienste für Cyberkriminalität unterstützt 

Am 27. Mai 2025 haben das US-Justizministerium zusammen mit niederländischen und finnischen Behörden vier Domains sowie zugehörige Server beschlagnahmt, die Verschlüsselungsdienste für Cyberkriminelle bereitstellten: AvCheck[.]net, Cryptor[.]biz, Cryptor[.]live und Crypt[.]guru.
Auch Frankreich, Dänemark, Portugal und die Ukraine waren beteiligt. Diese multinational koordinierte Operation zielt auf die Zerschlagung von Diensten, die Schadsoftware verbreiten, die Sicherheitssoftware umgeht.
Laut FBI-Agent Douglas Williams: „Durch den Einsatz von Anti-Viren-Gegenservices verfeinern Cyberkriminelle ihre Werkzeuge, um Sicherheitssysteme zu überwinden und Systeme weltweit zu kompromittieren.“
Die Aktion reiht sich in eine Serie internationaler Einsätze gegen Ransomware-Gruppen wie Lockbit 2.0 und Black Basta ein. 

FBI: Play-Ransomware kompromittierte 900 Opfer, darunter kritische Organisationen 

Laut FBI, CISA und ACSC wurden bis Mai 2025 rund 900 Organisationen Opfer der Play-Ransomware-Gruppe. Diese kompiliert ihre Malware für jede Attacke neu, was die Erkennung durch Sicherheitssoftware erschwert.
Opfer wurden zudem direkt mit der Drohung kontaktiert, gestohlene Daten zu veröffentlichen. CISA aktualisierte IOCs und TTPs zur besseren Verteidigung.
Play gilt als geschlossene Gruppe mit doppeltem Erpressungsmodell. Zahlungsanweisungen fehlen in den Notizen; Opfer sollen per E-Mail Kontakt aufnehmen. 

CISA nimmt ConnectWise-Schwachstelle (CVE-2025-3935) in Exploit-Katalog auf
CISA warnt vor einer Schwachstelle in ConnectWise ScreenConnect, die Remote-Code-Ausführung ermöglicht

ConnectWise meldete verdächtige Aktivitäten, mutmaßlich durch staatliche Akteure. Ein Patch wurde bereitgestellt. Die Schwachstelle erlaubt ViewState-Code-Injection, falls Angreifer Maschinenschlüssel kompromittieren.
Die CISA hat die Schwachstelle (CVE-2025-3935) in ihren offiziellen Katalog aufgenommen. 

Cartier, Victoria’s Secret & North Face von Cyber-Angriff betroffen 

 Cartier bestätigte eine Datenschutzverletzung nach Kompromittierung der Systeme. Kundeninformationen (ohne Zahlungsdaten) wurden entwendet.
North Face wurde im April Ziel einer Credential-Stuffing-Attacke. E-Mails, Passwörter und ggf. Adressen, Geburtsdaten und Telefonnummern waren betroffen.
Diese Angriffe stehen im Zusammenhang mit DragonForce und Scattered Spider, die gezielt den Einzelhandel angreifen. 

Interlock-Ransomware hinter Angriff auf Kettering Health: 941 GB Daten betroffen 

Am 20. Mai 2025 legte ein Angriff das Gesundheitssystem lahm. Interlock bekannte sich später zur Tat und veröffentlichte gestohlene Daten, darunter Bankauszüge, Patientenakten und Gehaltsdaten.
Kettering Health hat mit der Wiederherstellung der EHR-Systeme begonnen. Interlock ist eine neue Gruppe, bekannt für doppelte Erpressung und Angriffe auf hochprofitable Ziele. 

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.