NHS-Trusts von Cyberangriff betroffen – Schwachstelle in Ivanti-Software ausgenutzt, Patientendaten möglicherweise kompromittiert

Mehrere NHS-Trusts, darunter University College London Hospitals und University Hospital Southampton, sind von einem Cyberangriff betroffen, der eine Sicherheitslücke in der Ivanti Endpoint Manager Mobile (EPMM)-Software ausnutzte. Der Vorfall wurde am 15. Mai entdeckt und behoben, doch es besteht die Möglichkeit, dass sensible Patientendaten durch Remote Code Execution (RCE) abgegriffen wurden.

Cyberexperten, die das Ausmaß des Angriffs aufdeckten, führen ihn auf eine chinesische Bedrohungsgruppe zurück. Sie warnen, dass der Angriff nicht nur Datendiebstahl umfasst, sondern auch Terminplanungssysteme und medizinische Geräte beeinträchtigen könnte.

Gestohlene Daten beinhalten Telefonnummern von Mitarbeitern, IMEI-Nummern und Authentifizierungs-Tokens – Informationen, mit denen Hacker tiefer in NHS-Netzwerke eindringen könnten.

NHS England und das britische National Cyber Security Centre (NCSC) untersuchen den Vorfall. Trotz rund-um-die-Uhr-Überwachung und Alarmmeldungen für kritische Schwachstellen stellt dieser Vorfall eine ernste Warnung dar.

Adidas-Datenpanne offenbart Kundendaten nach Angriff auf Helpdesk

Adidas hat einen Cyberangriff bestätigt, bei dem persönliche Daten von Kunden über einen Drittanbieter-Helpdesk entwendet wurden. Dabei wurden vor allem Kontaktdaten von Personen offengelegt, die mit dem Kundenservice kommuniziert hatten. Laut Adidas wurden jedoch keine Passwörter, Kreditkarten- oder Zahlungsdaten kompromittiert.

Das Unternehmen reagierte schnell, leitete eine interne Untersuchung ein und arbeitet mit Cybersicherheitsexperten zusammen. Die zuständigen Behörden und betroffene Kunden werden gemäß den gesetzlichen Vorgaben informiert.

Die Verbraucherorganisation Which? forderte klare und schnelle Informationen für die Betroffenen. Kunden sollten ihre Konten und Kreditberichte im Auge behalten und sich vor Phishing-E-Mails, gefälschten Anrufen oder betrügerischen Nachrichten in Acht nehmen.

Im Gegensatz zu den jüngsten Angriffen auf M&S, Co-op und Harrods war das Kerngeschäft von Adidas nicht betroffen. Dennoch reiht sich der Vorfall in eine wachsende Zahl von Cyberangriffen auf internationale Einzelhändler ein. Adidas bestätigte auch frühere Vorfälle in der Türkei und Südkorea.

Tschechien beschuldigt China eines Cyberangriffs auf das Außenministerium – Botschafter einbestellt

Die tschechische Regierung hat China öffentlich eines staatlich unterstützten Cyberangriffs beschuldigt, bei dem das Außenministerium infiltriert und Tausende unklassifizierter E-Mails abgefangen wurden. Der Angriff wird der chinesischen Gruppe APT31 zugeschrieben und soll diplomatische Kommunikation zwischen tschechischen Botschaften und EU-Institutionen im Jahr 2022 kompromittiert haben – während Tschechien die EU-Ratspräsidentschaft innehatte.

Außenminister Jan Lipavský verurteilte den Vorfall und bestellte umgehend den chinesischen Botschafter ein. „Wir müssen uns gegen Cyberangriffe, Propaganda und Informationsmanipulation verteidigen“, sagte Lipavský.

Dies ist das erste Mal, dass Tschechien einen Cyberangriff offiziell einem staatlichen Akteur zuschreibt. Die Erkenntnisse stammen von den nationalen Nachrichtendiensten und der Cyberbehörde NUKIB.

APT31 wird mit dem chinesischen Ministerium für Staatssicherheit in Verbindung gebracht und war zuvor an Angriffen auf US-Präsidentschaftskampagnen beteiligt. Der Vorfall wurde von NATO und EU scharf kritisiert.

Ransomware-Gruppe übernimmt Verantwortung für Cyberangriff auf Mediclinic – Drohung mit Veröffentlichung von Mitarbeiterdaten

Die Ransomware-Gruppe Everest hat sich zu einem Cyberangriff auf Mediclinic bekannt, einem internationalen privaten Gesundheitsdienstleister mit Standorten in Südafrika, Namibia, der Schweiz und den Vereinigten Arabischen Emiraten. Die Angreifer behaupten, sie hätten 4 GB an internen Dokumenten und personenbezogenen Daten von rund 1.000 Mitarbeitenden exfiltriert und drohen mit einer Veröffentlichung, falls kein Lösegeld gezahlt wird.

Mediclinic hat sich bislang nicht öffentlich zum Vorfall geäußert. Das gesamte Ausmaß des Angriffs ist noch unklar, doch Experten warnen, dass die gestohlenen Informationen für Identitätsdiebstahl und Phishing ausgenutzt werden könnten.

Die Gruppe Everest ist seit 2021 aktiv und wird mit dem russlandnahen BlackByte-Kartell in Verbindung gebracht. Frühere Angriffe richteten sich u. a. gegen Coca-Cola und AT&T. Laut Cybernews wurden seit 2023 insgesamt 248 Opfer durch Everest bekannt.

Nigeria und Südafrika erleben Anstieg von Online-Bedrohungen im ersten Quartal 2025

Ein neuer Bericht zeigt einen deutlichen Anstieg von Web-Bedrohungen in Afrika, insbesondere in Nigeria und Südafrika. Beide Länder zählen laut Kaspersky zu den Top fünf betroffenen Ländern in der META-Region (Naher Osten, Türkei, Afrika). Im ersten Quartal 2025 waren 17,5 % der Nutzer in Nigeria und ein ähnlicher Anteil in Südafrika betroffen.

Der Bericht hebt wachsende Risiken durch Ransomware, APTs, Lieferkettenangriffe und mobile Schwachstellen hervor – verschärft durch KI- und IoT-Exploits.

Obwohl Afrika im Vergleich zum Nahen Osten weniger häufig Ziel von Ransomware ist, machen die wachsende Digitalisierung und begrenzte Sicherheitsmaßnahmen Nigeria und Südafrika zu attraktiven Zielen. Gruppen wie FunkSec setzen zunehmend KI-generierten Code und Ransomware-as-a-Service (RaaS) für großangelegte Angriffe ein.

Kaspersky empfiehlt mehrschichtige Sicherheitslösungen, regelmäßige Systemaktualisierungen und Schulungen für Sicherheitsteams auf Basis aktueller Bedrohungsinformationen.

Industrieziele vermehrt von Ransomware betroffen im ersten Quartal 2025

Die Zahl der Ransomware-Angriffe auf industrielle Einrichtungen stieg im ersten Quartal 2025 auf 708 Fälle. Laut Sicherheitsforschern wurden zwar keine neuen Varianten identifiziert, die gezielt auf industrielle Kontrollsysteme (ICS) abzielen, doch Angreifer nutzten eine Mischung aus bewährten und neuen Techniken.

Dazu zählen KI-gesteuerte Malware von FunkSec, Erpressungskampagnen ohne Verschlüsselung und staatlich unterstützte Operationen wie Moonstone Sleets Einsatz von Qilin-Ransomware. Werkzeuge wie RansomHub’s EDRKillshifter zeigen eine zunehmende Raffinesse bei der Umgehung von Endpunktschutz.

Mit der wachsenden Integration von IT- und OT-Systemen steigt auch die Auswirkung solcher Angriffe – wie etwa Produktionsunterbrechungen bei National Presto Industries. Gruppen wie Babuk Locker erschwerten zudem die Reaktion durch gefälschte oder recycelte Daten, um Opfer unter Druck zu setzen.

Integrity360 bietet seit Kurzem spezialisierte OT-Sicherheitsdienste, um industrielle Umgebungen zu schützen, die Resilienz zu erhöhen und regulatorische Anforderungen zu erfüllen.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.