News Week: 10. November bis 16. November 2025

Schuldgeständnis im US-Verfahren gegen Yanluowang Access Broker

Ein russischer Staatsbürger hat sich bereit erklärt, sich schuldig zu bekennen, als Initial Access Broker für die Yanluowang-Ransomware-Operation agiert zu haben. Er stellte Angreifern Netzwerkzugangspunkte zur Verfügung, die zwischen 2021 und 2022 gezielte Angriffe auf mehrere US-Unternehmen starteten. FBI-Ermittler deckten wichtige Beweise durch Serverdaten, Kryptowährungsaufzeichnungen und Apple iCloud-Informationen auf, darunter Chats, in denen der Angeklagte Zahlungen mit einem Komplizen aushandelte. Zwei Opferorganisationen zahlten letztendlich etwa 1,5 Millionen US-Dollar Lösegeld, wobei eine Blockchain-Analyse Teile dieser Gelder mit Wallets verknüpfte, die vom Broker bereitgestellt wurden. Unter den wiederhergestellten Materialien befand sich auch ein Screenshot, der die Kommunikation mit einem Benutzer namens LockBit zeigte, was auf mögliche Verbindungen zu weiteren Bedrohungsakteuren hindeutet. Der Angeklagte muss nun mit bis zu 53 Jahren Gefängnis rechnen und mehr als 9 Millionen US-Dollar an Wiedergutmachung an die betroffenen Unternehmen zahlen.

CISA fordert dringendes Patchen, nachdem Samsung Zero-Day Spyware-Angriffe ermöglicht

CISA hat US-Bundesbehörden angewiesen, eine Samsung Zero-Day-Schwachstelle, identifiziert als CVE-2025-21042, dringend zu patchen, nachdem diese ausgenutzt wurde, um die LandFall-Spyware über bösartige DNG-Dateien, die via WhatsApp gesendet wurden, zu verbreiten. Die Schwachstelle – ein Out-of-Bounds-Schreibfehler in Samsungs libimagecodec.quram.so – ermöglicht die Remote-Code-Ausführung auf Android 13 und neueren Geräten. Obwohl Samsung im April einen Fix veröffentlichte, bestätigten Forscher später, dass die Zero-Day-Schwachstelle seit Mitte 2024 aktiv missbraucht wurde, um Flaggschiff-Geräte wie das Galaxy S22, S23, S24, Z Fold 4 und Z Flip 4 zu kompromittieren. LandFall gewährt Angreifern umfassenden Zugriff, einschließlich Standortverfolgung, Anruf- und Audioaufzeichnungen, Browserverlauf und persönlichen Daten. CISA hat die Zero-Day-Schwachstelle nun in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und den Bundesbehörden bis zum 1. Dezember Zeit gegeben, ihre Geräte zu sichern. Die Behörde empfiehlt außerdem allen Organisationen, den Patch sofort anzuwenden, um die Anfälligkeit für die fortgesetzte Ausnutzung von Zero-Day-Schwachstellen zu reduzieren.

GlobalLogic informiert 10.000 Mitarbeiter nach Oracle Zero-Day, der zu Daten竊bstahl durch Clop-Ransomware führt

GlobalLogic hat damit begonnen, mehr als 10.000 aktuelle und ehemalige Mitarbeiter zu benachrichtigen, nachdem Angreifer eine Oracle E-Business Suite Zero-Day-Schwachstelle ausgenutzt hatten, um sensible HR-Daten zu stehlen. Laut der Meldung des Unternehmens zum Datenleck haben Bedrohungsakteure bereits im Juli 2025 auf die Oracle-Plattform zugegriffen und Informationen wie Namen, Kontaktdaten, Identifikationsnummern, Bankinformationen und sogar Passdaten exfiltriert. Ermittler geben an, dass der Eindringversuch auf die Oracle-Umgebung beschränkt war, aber der Zeitplan und die Methode ähneln stark einer laufenden Erpressungskampagne der Clop-Ransomware-Gruppe. Clop hat eine Oracle EBS Zero-Day-Schwachstelle ausgenutzt, um Daten von zahlreichen Organisationen zu stehlen, und hat bereits Opfer wie die Harvard University und Envoy Air auf ihrer Leak-Site veröffentlicht. Obwohl GlobalLogic dort noch nicht aufgetaucht ist, haben die Clop-Ransomware-Akteure die Verantwortung übernommen, was auf laufende Verhandlungen oder eine mögliche Zahlung hindeutet.

Synnovis bestätigt Datenexposition nach Ransomware-Angriff 2024 im Zusammenhang mit Qilin

Synnovis hat damit begonnen, Gesundheitspartner darüber zu informieren, dass Patientendaten während des Ransomware-Vorfalls im Juni 2024, der der Qilin-Ransomware-Gruppe zugeschrieben wird, gestohlen wurden. Die Organisation, die große NHS-Krankenhäuser durch ihre Pathologiedienste unterstützt, gibt an, dass die kompromittierten Daten stark fragmentiert waren und im vergangenen Jahr eine umfangreiche forensische Rekonstruktion erforderten. Die gestohlenen Informationen umfassen NHS-Nummern, Namen, Geburtsdaten und in einigen Fällen Testergebnisse, obwohl ein Großteil davon Berichten zufolge klinische Expertise zur Interpretation benötigt. Die Qilin-Operation störte Londoner Krankenhäuser erheblich und erzwang die Absage von Operationen und Bluttransfusionsdiensten. Obwohl Qilin später Teile der gestohlenen Daten auf ihrer Leak-Site veröffentlichte, behielten Synnovis und ihre NHS-Partner ihre Haltung gegen die Zahlung eines Lösegeldes bei. Das Unternehmen informiert nun die betroffenen NHS-Organisationen, damit diese mögliche Auswirkungen auf Patienten bewerten können, und betont weiterhin die Rolle von Qilin bei dem Angriff.

Google klagt auf Schließung chinesischer Lighthouse-Plattform hinter großen US-Maut-Smishing-Betrügereien

Google hat eine Bundesklage eingereicht, um die Lighthouse Phishing-as-a-Service-Plattform zu zerschlagen, eine chinesisch verbundene Operation, die zum Diebstahl von Kreditkartendaten durch groß angelegte Smishing-Angriffe genutzt wurde. Der Dienst lieferte Phishing-Vorlagen und -Infrastruktur, die USPS- und E-ZPass-Systeme imitierten und Kampagnen antrieben, die mehr als eine Million Opfer in 120 Ländern betrafen. Laut Google hostete Lighthouse über 100 Vorlagen, die Googles eigenes Branding missbrauchten, während seine Betreiber – verbunden mit dem Bedrohungsakteur Wang Duo Yu – die Kits über Telegram vermarkteten. Angreifer nutzten die Plattform, um betrügerische Mautbenachrichtigungen über iMessage und RCS zu versenden und Opfer auf gefälschte Zahlungsportale umzuleiten, die darauf ausgelegt waren, persönliche und finanzielle Informationen abzugreifen. Tausende von Typosquatting-Domains deuten auf eine anhaltende Aktivität bis 2025 hin. Durch die Klage nach Gesetzen gegen Erpressung und Betrug will Google das globale Smishing-Netzwerk von Lighthouse zerschlagen und gleichzeitig neue US-Politikinitiativen unterstützen, die darauf abzielen, Betrugsoperationen und ausländische Cyberkriminalität einzudämmen.

CISA warnt, dass Akira-Ransomware jetzt Nutanix AHV virtuelle Maschinen verschlüsselt

CISA und mehrere US-Behörden haben eine aktualisierte Warnung herausgegeben, die bestätigt, dass die Akira-Ransomware ihre Angriffe auf Nutanix AHV virtuelle Maschinen ausgeweitet hat. Ermittler berichten, dass Akira-Ransomware-Akteure im Juni 2025 begannen, Nutanix-Festplattendateien zu verschlüsseln, indem sie die SonicWall-Schwachstelle CVE-2024-40766 für den Zugriff missbrauchten. Im Gegensatz zu ihrem ausgereifteren ESXi-Targeting – wo Akira-Ransomware esxcli und vim-cmd verwendet, um VMs herunterzufahren – verschlüsselt der Linux-Verschlüsseler einfach .qcow2-Dateien in Nutanix-Umgebungen, ohne acli oder ncli zu verwenden. Die Warnung hebt auch umfassendere Eindringtaktiken hervor, einschließlich der Verwendung gestohlener VPN- und SSH-Anmeldeinformationen, der Ausnutzung von Veeam-Schwachstellen (CVE-2023-27532 und CVE-2024-40711) und lateraler Bewegung über Tools wie AnyDesk, LogMeIn und Impacket. Akira-Ransomware-Affiliates haben sogar Domain-Controller-VMDKs kopiert, um NTDS.dit-Dateien zu extrahieren. Die Behörden fordern Organisationen dringend auf, Patches anzuwenden, MFA durchzusetzen und Offline-Backups zu pflegen, um Akira-Ransomware und verwandten Varianten entgegenzuwirken.

Kraken-Ransomware führt Benchmarks an Systemen durch, um die Verschlüsselungseffizienz zu maximieren

Kraken-Ransomware, der Nachfolger der HelloKitty-Operation, hat eine ungewöhnliche Funktion eingeführt: Sie führt Benchmarks an jedem kompromittierten System durch, um festzustellen, ob eine vollständige oder teilweise Verschlüsselung den größten Schaden verursacht, ohne Ressourcen zu überlasten. Cisco Talos berichtet, dass Kraken-Ransomware eine temporäre Datei erstellt, diese verschlüsselt, die Geschwindigkeit misst und dann den optimalen Verschlüsselungsmodus auswählt. Die Bande, die Opfer in den USA, Großbritannien, Kanada, Dänemark, Panama und Kuwait hat, verschafft sich typischerweise Zugang, indem sie SMB-Schwachstellen ausnutzt, Admin-Anmeldeinformationen stiehlt und Cloudflared-Tunnel sowie SSHFS zur Exfiltration verwendet. Kraken-Ransomware zielt auf SQL-Datenbanken, Netzwerkfreigaben, lokale Laufwerke und Hyper-V-Umgebungen unter Windows ab, während ihre Linux/ESXi-Variante VMs zwangsweise beendet, bevor sie deren Festplattendateien verschlüsselt. Nach Angriffen löscht ein Bereinigungsskript Protokolle und Spuren. Verschlüsselte Dateien erhalten die Erweiterung .zpsc, und Lösegeldforderungen verlangen Zahlung – manchmal bis zu 1 Million US-Dollar.

Fazit

Der Anstieg von Ransomware-Operationen, Zero-Day-Ausnutzung und groß angelegten Phishing-Kampagnen verdeutlicht, wie schnell sich die heutige Bedrohungslandschaft weiterentwickelt. Von Access Brokern, die gezielte Angriffe antreiben, bis hin zu fortgeschrittenen Gruppen wie Clop, Qilin, Akira und Kraken, die ihre Methoden verfeinern, sehen sich Organisationen einer zunehmenden Kombination aus Datendiebstahl, Betriebsunterbrechungen und finanziellem Risiko gegenüber. Proaktive Sicherheit, schnelles Patchen und eine starke Bereitschaft zur Reaktion auf Vorfälle sind unerlässlich, um diesen immer ausgefeilteren Angriffen einen Schritt voraus zu sein.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit unterstützen wir Organisationen durch Ransomware-Wiederherstellungsdienste, kritische Ransomware-Verhandlungsdienste und unseren strategischen Incident Response Retainer. Wenn Ihre Organisation dringende Unterstützung benötigt oder ihre Bereitschaft gegen moderne Ransomware-Bedrohungen stärken möchte, kontaktieren Sie uns noch heute.