Große Mehrheit der von Ransomware betroffenen Unternehmen zahlt, neuer Bericht zeigt 

Ein neuer Bericht des Versicherers Hiscox hat ergeben, dass 80 % der kleinen und mittleren Unternehmen (KMU), die im vergangenen Jahr von Ransomware betroffen waren, ihre Angreifer bezahlt haben – auch wenn die Ergebnisse oft gemischt waren. Von den 5.750 befragten Unternehmen erlitten 27 % Ransomware-Vorfälle. Obwohl die meisten ein Lösegeld zahlten, konnten nur 60 % alle oder einen Teil ihrer Daten erfolgreich wiederherstellen, und fast ein Drittel sah sich mit weiteren Forderungen konfrontiert. 

Die Ergebnisse kommen vor dem Hintergrund einer Welle von Cyberangriffen auf große Namen wie Marks & Spencer, Co-op und Jaguar Land Rover (JLR). Letzteres war von einer einmonatigen Stilllegung betroffen, wobei die Regierung eine Kreditgarantie in Höhe von 1,5 Milliarden Pfund zur Absicherung der Lieferkette gewährte. Hiscox warnte, dass viele kleinere Firmen ohne solche Sicherheitsnetze in ihrer Existenz bedroht seien. 

WestJet-Datenpanne legt Informationen von 1,2 Millionen Passagieren offen 

Die kanadische Fluggesellschaft WestJet hat bestätigt, dass ein im Juni erstmals bekannt gewordener Cyberangriff zum Diebstahl persönlicher Daten von 1,2 Millionen Kunden führte. Die Verletzung legte sensible Informationen offen, darunter Namen, Geburtsdaten, Postadressen, Reisedokumente wie Pässe und Ausweise, bei der Airline eingereichte Beschwerden sowie Details zu Treueprogrammen. Obwohl keine Kreditkartennummern, Passwörter oder CVV-Codes kompromittiert wurden, erhalten betroffene Kunden zwei Jahre kostenlosen Identitätsschutz. 

Der Angriff soll durch Social Engineering entstanden sein, wobei Angreifer Zugriff über das kompromittierte Passwort eines Mitarbeiters erlangten und die Citrix-Umgebung von WestJet ausnutzten. Danach drangen sie sowohl in Windows- als auch in Microsoft-Cloud-Netzwerke ein. 

Obwohl der Vorfall nicht offiziell zugeschrieben wurde, fiel er mit einer Welle von Angriffen auf die Luftfahrtbranche zusammen, die mit der Gruppe Scattered Spider in Verbindung gebracht werden. WestJet erklärte, dass die Ermittlungen mit Unterstützung des FBI weiterlaufen, während das volle Ausmaß noch bewertet wird. 

Phantom Taurus: Neue China-verbundene Spionagegruppe zielt auf Regierungen 

Eine neu identifizierte, China-nahe Hackergruppe namens Phantom Taurus wurde mit Spionagekampagnen gegen Regierungs- und Telekommunikationsorganisationen in Afrika, dem Nahen Osten und Asien in Verbindung gebracht. Die Gruppe ist seit über zwei Jahren aktiv und konzentriert sich auf Außenministerien, Botschaften und militärische Operationen, häufig in Zusammenhang mit wichtigen geopolitischen Ereignissen. 

Erstmals 2023 als CL-STA-0043 erfasst und später als TGR-STA-0043 umklassifiziert, wurde Phantom Taurus inzwischen als vollwertiger Bedrohungsakteur eingestuft. Forscher sagen, dass das Hauptziel die langfristige Informationsbeschaffung ist, wobei die jüngsten Operationen vom Diebstahl von E-Mails zum direkten Angriff auf Datenbanken übergegangen sind. 

Phantom Taurus setzt eine maßgeschneiderte .NET-Malware-Suite namens NET-STAR ein, die IIS-Server über Hintertüren infiltrieren kann, die Erkennung umgehen und sogar forensische Protokolle manipulieren, um Analysten zu verwirren. Die Gruppe nutzte bekannte Schwachstellen in IIS und Microsoft Exchange aus, was ihre Anpassungsfähigkeit und Beharrlichkeit im Cyber-Spionagebereich unterstreicht. 

Harrods meldet Lieferanten-Datenpanne mit Auswirkungen auf 430.000 Kunden 

Der britische Luxus-Einzelhändler Harrods hat eine neue Datenpanne bestätigt, nachdem Hacker einen Drittanbieter kompromittiert hatten und 430.000 E-Commerce-Kundendatensätze offengelegt wurden. Das Unternehmen betonte, dass der Vorfall nicht mit dem gescheiterten Angriff im Mai durch Scattered Spider zusammenhängt, bei dem DragonForce-Ransomware gegen mehrere britische Einzelhändler eingesetzt wurde. 

Harrods erklärte, dass Namen und Kontaktdaten der betroffenen Kunden kompromittiert wurden, wobei einige Datensätze auch interne Marketing-Labels wie Treuekartenstufen enthielten. Zahlungsdaten, Passwörter oder Bestellhistorien wurden jedoch nicht offengelegt. Die Angreifer sollen versucht haben, Harrods direkt zu kontaktieren, doch das Unternehmen verweigerte die Kommunikation. 

Die Panne könnte mit dem umfassenderen Salesloft-Supply-Chain-Angriff zusammenhängen, der seit Ende des Sommers weltweit Organisationen betrifft. Harrods hat betroffene Kunden und Behörden informiert und mahnt zur Wachsamkeit gegenüber Phishing-Versuchen, während die Ermittlungen weiterlaufen. 

OneLogin-Schwachstelle legte OIDC-Geheimnisse offen, inzwischen behoben 

Eine schwerwiegende Schwachstelle in der OneLogin-IAM-Plattform von One Identity ist bekannt geworden, die sensible OpenID-Connect-(OIDC)-Geheimnisse hätte offenlegen können. Die Schwachstelle, erfasst als CVE-2025-59363 mit einem CVSS-Wert von 7,7, entstand durch eine Fehlkonfiguration eines API-Endpunkts, der client_secret-Werte zusammen mit Anwendungsmetadaten zurückgab. 

Clutch Security, die das Problem entdeckte, warnte, dass Angreifer mit gültigen OneLogin-API-Anmeldedaten alle OIDC-Anwendungen innerhalb eines Tenants auflisten, deren Geheimnisse abrufen, Anwendungen imitieren und Zugriff auf integrierte Dienste erlangen könnten. Dies hätte eine laterale Bewegung in Unternehmensumgebungen ermöglicht. Das Risiko wurde durch die weitreichenden rollenbasierten API-Berechtigungen und das Fehlen von IP-Beschränkungen verstärkt. 

Die Schwachstelle wurde am 18. Juli verantwortungsvoll gemeldet und in OneLogin 2025.3.0 behoben, das letzten Monat veröffentlicht wurde. One Identity erklärte, dass es keine Hinweise auf Ausnutzung gibt. Experten betonen, dass Schwachstellen in Identitätsanbietern Kaskadeneffekte auf gesamte Unternehmensinfrastrukturen haben können. 

 Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.