Britische Legal Aid Agency untersucht Cybervorfall inmitten einer Welle von Ransomware-Angriffen im Einzelhandel

Die Legal Aid Agency (LAA), Teil des britischen Justizministeriums, untersucht einen Cybervorfall, bei dem möglicherweise finanzielle Daten von Anbietern von Rechtshilfe kompromittiert wurden. In einem Schreiben an Anwaltskanzleien warnte die LAA, dass Angreifer Zugriff auf Zahlungsdaten gehabt haben könnten, obwohl ein Datenleck bisher nicht bestätigt wurde. Die LAA verwaltet Milliarden an juristischen Fördermitteln und beauftragt rund 2.000 Anbieter in England und Wales.

Die britische National Crime Agency und das National Cyber Security Centre unterstützen die Untersuchungen. Der Vorfall erfolgt während einer Welle von Ransomware-Angriffen auf britische Einzelhändler wie Co-op, Harrods und Marks & Spencer – zugeschrieben der DragonForce-Gruppe, die Taktiken von Scattered Spider nutzt.

Da Co-op VPN-Zugänge eingeschränkt hat und Harrods den Internetzugang limitiert, haben britische Cybersicherheitsbehörden neue Richtlinien veröffentlicht und davor gewarnt, dass diese Angriffe ein Weckruf für Unternehmen sein sollten, ihre Verteidigung zu stärken.

DDoS-Angriffe steigen im Q1 2025 um 358 % im Jahresvergleich – Deutschland am häufigsten betroffen

Cloudflares DDoS-Bedrohungsbericht für Q1 2025 verzeichnet einen Anstieg von 358 % bei Distributed-Denial-of-Service-Angriffen im Jahresvergleich – insgesamt 20,5 Millionen weltweit. Deutschland war das am stärksten angegriffene Land, gefolgt von der Türkei und China, während Hongkong die meisten Angriffe initiierte.

Bemerkenswert ist, dass Cloudflare im ersten Quartal 2025 mehr Angriffe blockierte als im gesamten Jahr 2024 – darunter über 700 hypervolumetrische Angriffe mit über 1 Tbps oder 1 Bpps. Ein Angriff erreichte einen Rekordwert von 4,8 Bpps.

Am stärksten betroffen waren die Bereiche Gaming, Telekommunikation und Cybersicherheit. Viele Angriffe stammten aus Botnetzen wie Mirai. SYN- und DNS-Floods waren die häufigsten Methoden, während CLDAP- und ESP-Verstärkungsangriffe um über 2.000 % zunahmen.

Trotz Medienfokus auf großflächige Angriffe waren 99 % der Layer-3/4- und 94 % der HTTP-Angriffe klein – aber effektiv. Der Bericht betont die Notwendigkeit kontinuierlicher, automatisierter Schutzmaßnahmen.

Phishing-Kampagne imitiert TAP Air Portugal nach Stromausfall in Iberien

Nach einem großflächigen Stromausfall in Spanien, Portugal und Teilen Europas Ende April starteten Bedrohungsakteure eine Phishing-Kampagne unter dem Namen von TAP Air Portugal. Ziel waren Reisende, deren Flüge verspätet waren. Die E-Mails in portugiesischer und spanischer Sprache versprachen Entschädigungen und führten zu Phishing-Seiten, die persönliche Daten und Zahlungsinformationen stehlen sollten.

Die Nachrichten, die über kompromittierte WordPress-Websites versendet wurden, bezogen sich auf die EU-Verordnung zu Passagierrechten und versprachen Rückerstattungen innerhalb von zwei Tagen. Laut Cofense Intelligence führten die eingebetteten Links jedoch zu gefälschten Formularen zur Datenerfassung.

Betreffzeilen lauteten u.a. „Atualização de compensação“ (PT) und „Compensación por su vuelo“ (ES). Die Kampagne zeigt, wie Cyberkriminelle reale Krisen für Social-Engineering-Angriffe ausnutzen. Behörden haben einen Cyberangriff als Ursache des Stromausfalls ausgeschlossen, die Untersuchung läuft jedoch noch.

West Lothian Council von mutmaßlichem Ransomware-Angriff auf Bildungsnetz betroffen

Der West Lothian Council hat bestätigt, dass ein mutmaßlicher krimineller Ransomware-Cyberangriff auf sein Bildungsnetzwerk stattgefunden hat. Der Vorfall begann am 6. Mai und wird in Zusammenarbeit mit Police Scotland, der schottischen Regierung und externen Agenturen untersucht.

Bisher gibt es keine Hinweise darauf, dass persönliche oder sensible Daten kompromittiert wurden. Die städtischen und öffentlich zugänglichen Netzwerke des Rats bleiben laut Angaben unangetastet. Notfallpläne wurden aktiviert, um Störungen in Schulen zu minimieren. Alle Schulen bleiben geöffnet und die Prüfungen finden wie geplant statt.

Das Bildungsnetzwerk wurde isoliert, während das IT-Team und externe Partner daran arbeiten, die Systeme wiederherzustellen. Der Rat betreibt 133 Schulen, darunter 13 Sekundarschulen, und hat betont, dass Schüler bei ihren Prüfungen nicht beeinträchtigt werden.

South African Airways meldet Cyberangriff – Untersuchung eingeleitet

South African Airways (SAA) hat einen schwerwiegenden Cyberangriff gemeldet, der am 3. Mai seine Website, mobile App und interne Systeme störte. Das Unternehmen aktivierte sofort seine Notfallprotokolle und stellte noch am selben Tag zentrale Dienste wieder her.

SAA beschrieb den Vorfall als ernst und beauftragte unabhängige digitale Forensikexperten mit der Untersuchung. Es wird geprüft, ob Daten abgerufen oder exfiltriert wurden. Falls ja, werden Betroffene informiert.

Der Vorfall reiht sich in eine zunehmende Serie von Angriffen auf südafrikanische Unternehmen ein – zuletzt betroffen waren auch MTN und Cell C. Laut ESET verzeichnet Südafrika über 40 % aller Ransomware-Angriffe und knapp 35 % der Infostealer-Vorfälle in Afrika.

SAA meldete den Vorfall der Sicherheitsbehörde und dem Datenschutzbeauftragten und bekräftigte sein Engagement für die Einhaltung der Vorschriften und den Schutz der Kundendaten.

LockBit-Ransomware-Bande erneut kompromittiert – Affiliate-Panel geleakt

Die LockBit-Ransomware-Bande hat erneut einen schweren Rückschlag erlitten, nachdem ihr Dark-Web-Panel für Partner kompromittiert und ein Link zu einem MySQL-Datenbank-Dump veröffentlicht wurde. Die Panels zeigen nun die Nachricht „Don’t do crime CRIME IS BAD xoxo from Prague“ mit einem Download-Link für „paneldb_dump.zip“.

Die SQL-Datei enthält Bitcoin-Wallet-Adressen, Chats mit Opfern sowie Zugangsdaten von 75 Affiliates – inklusive Klartext-Passwörtern wie „Weekendlover69“ und „Lockbitproud231“.

Die geleakte Datenbank umfasst 20 Tabellen mit Informationen zu Angriffskonfigurationen, Zielunternehmen und Serverdaten. Laut BleepingComputer erfolgte der Leak am 29. April 2025. Die Identität des Angreifers bleibt unbekannt, doch die Nachricht ähnelt einem früheren Angriff auf Everest Ransomware.

Der Vorfall folgt auf die Operation Cronos 2024, die LockBits Infrastruktur schwer traf. Obwohl sich die Gruppe damals erholte, wirft dieser neuerliche Vorfall Fragen zu ihrer langfristigen Überlebensfähigkeit auf.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.