News Week: 14. Juli bis 20. Juli 2025

Interlock-Ransomware nutzt FileFix und RDP in neuer Angriffswelle

Die Interlock-Ransomware hat kürzlich eine heimlichere Angriffsmethode namens FileFix übernommen, um Remote-Access-Trojaner (RATs) auf die Systeme der Opfer zu bringen. Diese Methode manipuliert Windows-Elemente wie den Datei-Explorer, um Benutzer dazu zu bringen, getarnte PowerShell-Befehle einzufügen, die dann Malware herunterladen, die auf Plattformen wie trycloudflare.com gehostet wird. Nach der Installation sammelt der PHP-basierte RAT System- und Netzwerkdaten mit PowerShell und exfiltriert sie im JSON-Format. Forscher beobachteten auch Aktivitäten nach der Infektion, wie z. B. die Aufzählung von Active Directory und die Nutzung des Remote Desktop Protocol (RDP) für die laterale Bewegung. Diese Taktiken verdeutlichen den Wandel von Interlock von seiner bisherigen ClickFix-basierten Bereitstellung zu evasiveren Techniken. Durch die Ausnutzung von FileFix und RDP entwickelt der Bedrohungsakteur hinter Interlock seine Kampagne weiter und umgeht traditionelle Erkennungsmethoden. Sicherheitsexperten von Proofpoint und The DFIR Report verfolgen diese Entwicklung seit Mai 2025 und stellen die zunehmende Raffinesse und Reichweite fest.

Europol zerschlägt NoName057(16) DDoS-Gruppe in koordinierter Aktion

In einer groß angelegten Operation mit dem Namen „Operation Eastwood“ zerschlugen Europol und Strafverfolgungsbehörden aus 13 Ländern die pro-russische Hacktivistengruppe NoName057(16), die für die Orchestrierung von weit verbreiteten DDoS-Angriffen in Europa, der Ukraine und Israel bekannt ist. Seit ihrem Aufkommen im Jahr 2022 hat die Gruppe ihre „DDoSia“-Plattform genutzt, um über Telegram Angriffe per Crowdsourcing durchzuführen, die auf Regierungsinstitutionen, Energieversorger, Banken und Rüstungsunternehmen abzielten. Die koordinierte Aktion am 15. Juli 2025 führte zur Beschlagnahmung von über 100 Servern und zu Verhaftungen in Frankreich und Spanien. Trotz dieses Schlags befinden sich wichtige Mitglieder weiterhin in Russland, und Europol warnt, dass die Gruppe ihre DDoS-Infrastruktur schnell wieder aufbauen könnte. Allein in Deutschland gab es 14 Angriffe, von denen über 230 Einrichtungen betroffen waren, darunter Waffenhersteller und öffentliche Dienste. NoName057(16) kündigt weiterhin neue DDoS-Kampagnen an, was die anhaltende Cyberbedrohung auch nach dem Eingreifen der Strafverfolgungsbehörden unterstreicht.

Remote Code Execution über SQL-Injection trifft FortiWeb-Geräte

Fortinet FortiWeb-Appliances werden jetzt aktiv durch eine kritische SQL-Injection-Schwachstelle, die als CVE-2025-25257 verfolgt wird, ausgenutzt, die die Remote-Code-Ausführung (RCE) auf ungepatchten Systemen ermöglicht. Die Schwachstelle betrifft die Versionen 7.6.0 bis 7.6.3, 7.4.0 bis 7.4.7 und 7.0.0 bis 7.0.10 und ermöglicht es Angreifern, speziell präparierte HTTP-Anfragen zu senden, um bösartigen Code ohne Authentifizierung auszuführen. Nachdem am 11. Juli öffentliche Proof-of-Concept-Exploits veröffentlicht wurden, beobachtete Shadowserver einen rapiden Anstieg der Infektionen, wobei an einem einzigen Tag 85 FortiWeb-Geräte kompromittiert wurden. Der Angriff injiziert Code über SQLi in Authorization-Header, legt eine `.pth`-Payload ab und führt sie über ein legitimes FortiWeb-CGI-Skript aus, wodurch vollständige RCE erreicht wird. Fortinet forderte die Benutzer dringend auf, sofort ein Upgrade durchzuführen, aber über 200 Verwaltungsschnittstellen sind weltweit weiterhin exponiert, hauptsächlich in den USA. Organisationen, die kein Update durchführen können, sollten den HTTP/HTTPS-Admin-Zugriff deaktivieren, um die Ausnutzung über den anfälligen Endpunkt zu blockieren. Dieser Anstieg unterstreicht das dringende Risiko der Kombination von SQL-Injection mit Remote Code Execution.

Zero-Day-Exploit trifft SonicWall SMA-Geräte mit OVERSTEP-Rootkit und Abyss-Ransomware-Links

Ein neu entdecktes User-Mode-Rootkit namens OVERSTEP wurde bei Angriffen auf SonicWall SMA 100 Series-Appliances eingesetzt, wobei eine vermutete Zero-Day-Schwachstelle ausgenutzt wurde, um tiefe Persistenz und Tarnung zu erlangen. Die von der Google’s Threat Intelligence Group (GTIG) verfolgte Bedrohung UNC6148 nutzte gestohlene Administrator-Zugangsdaten, um Reverse Shells zu initiieren und Designbeschränkungen zu umgehen, wobei sie wahrscheinlich CVE-2024-38475 oder eine andere noch nicht offengelegte Zero-Day-Schwachstelle ausnutzte. Sobald der Zugriff gesichert war, wurde OVERSTEP installiert, was eine langfristige Persistenz, Protokollmanipulation und den Diebstahl von Zugangsdaten ermöglichte. Die Malware modifiziert den Boot-Prozess und führt bei jedem dynamischen ausführbaren Start Code aus. Überschneidungen mit Abyss-Ransomware-Angriffen deuten auf eine Dual-Use-Kampagne hin, die sowohl Spionage als auch Erpressung beinhaltet. Mehrere frühere Kompromittierungen mit Abyss wurden auf ähnliche Taktiken zurückgeführt – SMA-Gerätezugriff, Web-Shells und Firmware-Persistenz. GTIG warnt, dass OVERSTEP sensible Elemente wie OTP-Seeds und Zertifikate extrahieren kann. Organisationen, die End-of-Life-SMA-Appliances verwenden, werden dringend gebeten, forensische Images zu verwenden, um Rootkit-Interferenzen zu erkennen.

DragonForce-Ransomware-Verstoß legt 6,5 Millionen Datensätze von Genossenschaftsmitgliedern offen

Der britische Einzelhandelsriese Co-op hat bestätigt, dass persönliche Daten aller 6,5 Millionen Mitglieder bei dem Cyberangriff im April 2025 unter Beteiligung der DragonForce-Ransomware-Gruppe gestohlen wurden. Der Verstoß, der nun mit dem berüchtigten Bedrohungsakteur Scattered Spider in Verbindung gebracht wird – der zuvor mit der BlackCat-Ransomware in Verbindung stand – war weitaus schwerwiegender als ursprünglich berichtet. Angreifer verschafften sich über eine Social-Engineering-Taktik Zugang, die das Zurücksetzen von Passwörtern und die laterale Bewegung innerhalb des Co-op-Netzwerks ermöglichte. Kritische Dateien wie die NTDS.dit, die Windows-Passworthashes enthält, wurden exfiltriert. Co-op-CEO Shirine Khoury-Haq entschuldigte sich öffentlich und betonte die emotionale Belastung für Mitarbeiter und Mitglieder. Obwohl keine Finanzdaten kompromittiert wurden, wurden Kontaktinformationen abgerufen. Die Strafverfolgungsbehörden haben inzwischen vier Personen verhaftet, die im Verdacht stehen, an diesem und anderen hochkarätigen Angriffen beteiligt gewesen zu sein, darunter Vorfälle, die auf M&S und Harrods abzielten. Dieselbe Gruppe wurde zuvor mit dem MGM Resorts-Verstoß im Jahr 2023 in Verbindung gebracht. Der Fall von Co-op unterstreicht die sich entwickelnde Bedrohung durch DragonForce, Scattered Spider und BlackCat-Partner.

Phobos & 8Base-Decryptor stellt Dateien mit Erweiterungen wie .LIZARD, .faust, .phobos wieder her

Opfer der Phobos- und 8Base-Ransomware-Familien können ihre verschlüsselten Daten jetzt kostenlos wiederherstellen, dank eines neuen Decryptors, der von der japanischen Polizei veröffentlicht und über die NoMoreRansom-Plattform von Europol vertrieben wird. Dies stellt einen Durchbruch gegen die langjährige Phobos-Ransomware-as-a-Service-Operation dar, die für die Ermöglichung von Double-Extortion-Taktiken bekannt ist – das Verschlüsseln von Dateien und das Stehlen von Daten zur Erpressung. Der Decryptor unterstützt eine Reihe gängiger Ransomware-Dateierweiterungen, darunter .phobos, .8base, .elbie, .faust und .LIZARD, und funktioniert möglicherweise mit zusätzlichen Variationen, die nicht explizit aufgeführt sind. Diese Erweiterungen stellen einige der häufigsten dar, die bei den jüngsten Ransomware-Angriffen zu sehen waren. Benutzer verweisen das Tool einfach auf betroffene Ordner, und es entschlüsselt Dateien rekursiv, wobei die ursprüngliche Verzeichnisstruktur erhalten bleibt. Dieses Tool bietet eine Rettungsleine für Organisationen, die von Phobos und seinem 8Base-Ableger betroffen sind, insbesondere da beide aggressive Double-Extortion-Strategien einsetzen.

CrushFTP Zero-Day-Exploit ermöglicht Serverübernahme über Webinterface

Eine neu entdeckte Zero-Day-Schwachstelle, die als CVE-2025-54309 verfolgt wird, wird aktiv in freier Wildbahn ausgenutzt, um anfällige CrushFTP-Server zu entführen. Die Schwachstelle, die Versionen vor CrushFTP v10.8.5 und v11.3.4_23 betrifft, ermöglicht es nicht authentifizierten Angreifern, über das HTTP(S)-Webinterface Zugriff auf Admin-Ebene zu erhalten. CrushFTP vermutet, dass Bedrohungsakteure die Software per Reverse Engineering analysiert und den Fehler in früheren Builds identifiziert haben, um ihn auf ungepatchten Systemen auszunutzen. Obwohl ein vorheriger, nicht verwandter Patch die Schwachstelle zufällig blockierte, sind nur diejenigen, die die neuesten Builds ausführen, vollständig geschützt. Der Zero-Day-Exploit modifiziert die Standard-Benutzerkonfigurationsdatei und ermöglicht so den unbefugten Zugriff über Stealth-Admin-Konten. Indikatoren sind ungewöhnliche Logins und manipulierte user.XML-Dateien. Während CrushFTP die Verwendung eines DMZ-Setups empfiehlt, warnen Firmen wie Rapid7, dass solche Konfigurationen die Ausnutzung von Zero-Days möglicherweise nicht vollständig verhindern. Dieser jüngste Vorfall fügt CrushFTP der wachsenden Liste von Enterprise-File-Transfer-Lösungen hinzu, die über Zero-Days für Datendiebstahl und potenzielle Malware-Bereitstellung angegriffen werden, was an frühere Clop-Ransomware-Kampagnen erinnert.

Microsoft SharePoint Zero-Day ermöglicht Remote Code Execution bei laufenden Angriffen

Zwei kritische Zero-Day-Schwachstellen in Microsoft SharePoint, CVE-2025-53770 und CVE-2025-53771, werden aktiv bei Remote Code Execution (RCE)-Angriffen ausgenutzt, die lokale Server weltweit betreffen. Die Schwachstellen umgehen die Microsoft-Patches vom Juli für die ursprüngliche ToolShell-Exploit-Kette (CVE-2025-49706 + CVE-2025-49704) und ermöglichen es Angreifern, bösartige `.aspx`-Dateien wie spinstall0.aspx hochzuladen und kryptografische Schlüssel zu stehlen, die zum Generieren gültiger, signierter __VIEWSTATE-Payloads verwendet werden. Diese Payloads können dann RCE auslösen, indem sie Befehle in den SharePoint-Server injizieren. Obwohl Notfall-Patches für SharePoint 2016, 2019 und Subscription Edition veröffentlicht wurden, wurden bereits Dutzende von Organisationen, darunter Regierungs- und Privatunternehmen, kompromittiert. Microsoft fordert Administratoren dringend auf, Updates anzuwenden, AMSI zu aktivieren, Maschinenschlüssel zu rotieren und ungepatchte Server vom Internet zu trennen. Wenn ViewState-Schlüssel offengelegt werden, können Angreifer dauerhaft gültige Token erstellen, um bösartigen Code serverseitig auszuführen, was dies zu einem der gefährlichsten RCE-Zero-Days macht, die derzeit in freier Wildbahn sind.

Fazit

Die jüngsten Zero-Day-Schwachstellen in Microsoft SharePoint verdeutlichen, wie selbst etablierte Enterprise-Plattformen zu kritischen Einstiegspunkten für Remote-Code-Execution-Angriffe werden können. Da Bedrohungsakteure diese Schwachstellen weiterhin ausnutzen, um sich unbefugten Zugriff zu verschaffen und bösartigen Code auszuführen, müssen Organisationen schnell handeln, um Systeme zu patchen und mehrschichtige Abwehrmaßnahmen zu implementieren.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Wiederherstellungsdienste und Ransomware-Lösegeldverhandlungsdienste an. Unsere Cyber Defense Academy bietet Schulungen zum Aufbau von Resilienz, während unsere Cybersecurity Risk Assessment und unser Incident Response Retainer Organisationen helfen, sich proaktiv auf Bedrohungen vorzubereiten und auf diese zu reagieren.

Wenden Sie sich noch heute an uns, um zu erfahren, wie unser Ransomware-Entschlüsselungsdienst und unsere Cybersicherheitslösungen dazu beitragen können, Ihre Abläufe zu schützen.