News Week: 17. bis 23. November 2025

Generalstaatsanwalt von Pennsylvania bestätigt schwerwiegende Datenoffenlegung nach August-Angriff

Im November 2025 bestätigte das Büro des Generalstaatsanwalts von Pennsylvania offiziell, dass eine Sicherheitslücke im August zum Diebstahl sensibler persönlicher und medizinischer Informationen führte. Die Intrusion, die später von der INC Ransom-Gruppe – einer aktiven RaaS (Ransomware-as-a-Service)-Operation – beansprucht wurde, führte dazu, dass Dateien mit Namen, Sozialversicherungsdaten und gesundheitsbezogenen Informationen unbefugt abgerufen wurden. Das Büro bestätigte, dass es sich weigerte, das Lösegeld zu zahlen, nachdem Systeme verschlüsselt worden waren, wodurch wichtige digitale Dienste, einschließlich E-Mail, Websites und interne Telefonleitungen, offline blieben. Unabhängige Sicherheitsforscher vermuteten, dass anfällige Citrix NetScaler-Systeme, die mit dem Citrix Bleed 2 (CVE-2025-5777)-Exploit in Verbindung stehen, den Angreifern den Zugang ermöglicht haben könnten. INC Ransom erklärte später, über 5 TB an Informationen entfernt zu haben und deutete sogar den Zugriff auf föderale Netzwerke an. Der Vorfall ist die dritte bekannte Ransomware-Attacke, die staatliche Organisationen in Pennsylvania betrifft.

Azure widersteht DDoS-Welle von Rekordausmaß, angetrieben durch das Aisuru-Botnetz

Microsoft hat bestätigt, dass Azure kürzlich einem massiven DDoS-Angriff standgehalten hat, der Spitzenwerte von 15,72 Tbit/s erreichte und von etwa einer halben Million IP-Adressen stammte, die vom Aisuru-Botnetz kontrolliert wurden. Der Angriff bestand aus extrem hochvolumigen UDP-Floods, die auf eine öffentliche IP-Adresse in Australien gerichtet waren, erreichte fast 3,64 Milliarden Pakete pro Sekunde und stellt eines der größten DDoS-Ereignisse dar, denen Azure bisher begegnet ist. Aisuru, ein von Turbo Mirai abgeleitetes IoT-Botnetz, ist bekannt dafür, anfällige Consumer-Hardware wie Router, Kameras und Realtek-basierte Geräte auszunutzen, um seinen Traffic zu verstärken. Cloudflare und Qi’anxin haben Aisuru auch mit anderen historischen DDoS-Angriffen im Jahr 2025 in Verbindung gebracht, darunter Vorfälle, die 11 Tbit/s überschritten und sogar 22 Tbit/s übertrafen. Forscher glauben, dass das Botnetz schnell wuchs, nachdem Angreifer einen Firmware-Server kompromittiert und Malware auf Tausende von Geräten gepusht hatten. Das Ausmaß und die Häufigkeit dieser DDoS-Angriffe unterstreichen den zunehmenden Druck auf Cloud-Plattformen und die globale Internetinfrastruktur.

Google veröffentlicht Notfall-Patch für neuen Chrome Zero-Day, der aktiv ausgenutzt wird

Google hat ein dringendes Sicherheitsupdate veröffentlicht, nachdem bestätigt wurde, dass CVE-2025-13223, ein neu entdeckter Chrome-Zero-Day, in realen Angriffen aktiv ausgenutzt wird. Die Schwachstelle resultiert aus einem Typverwechslungsfehler in der V8 JavaScript-Engine und wurde von Googles Threat Analysis Group gemeldet, die häufig Zero-Day-Aktivitäten aufdeckt, die mit staatlich geförderten Hacking- und Spyware-Operationen in Verbindung stehen. Der Fix ist jetzt in den Chrome-Versionen 142.0.7444.175/.176 für Windows, Mac und Linux verfügbar, wobei die automatische Verteilung in den kommenden Wochen erfolgt. Benutzer können manuell überprüfen, ob sie geschützt sind, indem sie zu Hilfe → Über Google Chrome navigieren und den Browser nach dem Update neu starten. Obwohl Google die Ausnutzung bestätigte, bleiben technische Details eingeschränkt, bis die meisten Benutzer den Patch angewendet haben. Dies ist der siebte im Jahr 2025 behobene Chrome-Zero-Day, nach mehreren Notfall-Updates im März, Mai, Juli und September, was unterstreicht, wie häufig Angreifer Zero-Day-Ketten gegen hochwertige Ziele einsetzen.

ShinySp1d3r: Neue RaaS-Plattform von ShinyHunters entsteht

Eine neue Ransomware-as-a-Service (RaaS)-Operation, bekannt als ShinySp1d3r-Ransomware, nimmt Gestalt an, entwickelt von Akteuren, die mit ShinyHunters und Scattered Spider in Verbindung stehen. Im Gegensatz zu früheren Kampagnen, bei denen diese Gruppen auf Verschlüsselungstools von Drittanbietern wie ALPHV/BlackCat, Qilin, RansomHub oder DragonForce angewiesen waren, wird ShinySp1d3r vollständig intern entwickelt, was eine Verlagerung hin zu vollständig kontrollierten Erpressungsoperationen signalisiert. Frühe auf VirusTotal hochgeladene Samples zeigen einen funktionsreichen Windows-Verschlüsseler, der in der Lage ist, Prozesse zu beenden, Schattenkopien zu löschen, freien Speicherplatz zu löschen, sich über SCM, WMI oder GPO im Netzwerk zu verbreiten und Anti-Analyse-Verhalten aufweist. Verschlüsselte Dateien enthalten einzigartige Erweiterungen und mit Metadaten gefüllte Header, die mit SPDR→ENDS gekennzeichnet sind. Jedes betroffene System erhält eine Lösegeldforderung mit Verhandlungsdetails und einem Platzhalter-Tor-Leak-Portal. ShinyHunters plant Versionen für Linux, ESXi und sogar eine Hochgeschwindigkeits-„Lightning“-Build. Obwohl Gesundheitseinrichtungen angeblich tabu sind, deutet die Geschichte darauf hin, dass RaaS-Regeln oft ignoriert werden, sobald Affiliates beitreten.

USA, Großbritannien & Australien sanktionieren russische Bulletproof-Hosting-Anbieter im Zusammenhang mit Ransomware

Die Vereinigten Staaten, das Vereinigte Königreich und Australien haben gemeinsam Sanktionen gegen russische Bulletproof-Hosting (BPH)-Dienste verhängt, die seit langem mit Ransomware-Gruppen und umfassenderen Cyberkriminalitätsaktivitäten in Verbindung gebracht werden. Im Mittelpunkt der Maßnahme steht Media Land, ein Anbieter, der dafür bekannt ist, Infrastruktur an LockBit, BlackSuit, Play und andere Ransomware-Operationen zu vermieten, zusammen mit drei verbundenen Unternehmen: Media Land Technology, Data Center Kirishi und ML Cloud. Die Behörden geben an, dass diese BPH-Netzwerke Phishing-Kampagnen, Malware-Bereitstellung, Command-and-Control-Operationen, DDoS-Angriffe und das Hosten illegaler Inhalte ermöglichten, während sie Aufforderungen zur Entfernung ignorierten. Die Sanktionen erstrecken sich auch auf die Führungskräfte Aleksandr Volosovik (alias Yalishanda), Kirill Zatolokin und Yulia Pankova sowie auf Aeza Group LLC, Hypercore Ltd und verbundene serbische und usbekische Support-Unternehmen. Die Cybersicherheitsbehörden der Five Eyes veröffentlichten Leitlinien, in denen ISPs aufgefordert werden, bösartige Ressourcen zu verfolgen, den Datenverkehr zu überwachen und eine stärkere Identitätsprüfung durchzusetzen. Vermögenswerte in den USA, Großbritannien und Australien sind nun eingefroren, und verbundene Parteien müssen mit sekundären Strafen rechnen.

Sneaky2FA PhaaS entwickelt sich weiter mit neuen Browser-in-the-Browser-Techniken

Die Sneaky2FA Phishing-as-a-Service (PhaaS)-Plattform hat ihre Fähigkeiten durch die Integration einer Browser-in-the-Browser (BitB)-Angriffsmethode erweitert und fügt dem Diebstahl von Microsoft 365-Anmeldeinformationen eine äußerst überzeugende neue Ebene hinzu. Bisher bekannt für SVG-basierte und Attacker-in-the-Middle (AitM)-Sitzungsabfangmethoden, generiert das PhaaS-Kit nun ein Pop-up, das visuell ein echtes Microsoft-Anmeldefenster imitiert, einschließlich OS-spezifischer Stile, gefälschter URL-Leisten und OAuth-ähnlicher Schnittstellenelemente. Wenn Opfer auf „Mit Microsoft anmelden“ klicken, lädt das BitB-Overlay die bestehende AitM-Phishing-Pipeline, wodurch Angreifer Anmeldeinformationen und Sitzungstoken abgreifen können, selbst wenn die Multi-Faktor-Authentifizierung aktiv ist. Der PhaaS-Ansatz von Sneaky2FA spiegelt andere Dienste wie Tycoon2FA und Mamba2FA wider, umfasst aber jetzt verschleiertes HTML, bedingte Inhaltsbereitstellung und defensive Umgehungsmechanismen, die darauf ausgelegt sind, Scanner zu umgehen. Das Update spiegelt eine breitere Verschiebung in den PhaaS-Tools wider, bei der BitB als Täuschungsschicht und nicht als Kernmechanismus fungiert – was die Grenze zwischen Red-Team-Tools und realer Cyberkriminalität weiter verwischt.

Mitglieder von Scattered Spider plädieren auf nicht schuldig im Fall des TfL-Cyberangriffs

Zwei mutmaßliche Mitglieder des Cyberkriminalitätskollektivs Scattered Spider – der 19-jährige Thalha Jubair und der 18-jährige Owen Flowers – haben sich in Bezug auf die Vorwürfe im Zusammenhang mit der Sicherheitslücke bei Transport for London (TfL) im August 2024 für nicht schuldig erklärt. Die Intrusion verursachte erhebliche Betriebsunterbrechungen, stoppte die Rückerstattungsabwicklung und es wurde später bestätigt, dass Kundendaten wie Namen, Adressen und Kontaktdaten offengelegt wurden. Beide Verdächtigen wurden von der britischen National Crime Agency und der City of London Police festgenommen und wegen Betrugs, Computermissbrauchs und Handlungen angeklagt, die eine ernsthafte Gefährdung des öffentlichen Wohls darstellten. Gerichtsakten verbinden Flowers mit weiteren Intrusionversuchen in Gesundheitsnetzwerke in den Vereinigten Staaten, während Jubair separat wegen der Zurückhaltung von im März 2025 beschlagnahmten Passwörtern angeklagt ist und US-Anklagen im Zusammenhang mit weit verbreiteten Erpressungskampagnen gegenübersteht. Die Behörden schätzen, dass Opfer über 115 Millionen US-Dollar an Lösegeldforderungen gezahlt haben, und Scattered Spider wird weiterhin wegen Angriffen auf kritische Infrastrukturen und große Einzelhändler untersucht.

Fazit

Die Anklagen gegen mutmaßliche Mitglieder von Scattered Spider unterstreichen die wachsende Auswirkung der von Jugendlichen betriebenen Cyberkriminalität und den schwerwiegenden Schaden, den diese Intrusionen öffentlichen Diensten und privaten Organisationen zufügen. Mit Millionenverlusten, offengelegten Daten und grenzüberschreitenden Strafverfolgungen unterstreicht der Fall, wie entscheidend eine starke Cyberresilienz und schnelle Reaktionsmechanismen für Organisationen jeder Größe sind.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir umfassende Unterstützung durch Ransomware-Wiederherstellungsdienste, effektive Ransomware-Verhandlungsdienste und einen proaktiven Incident Response Retainer. Wenn Sie schnelle Hilfe bei der Wiederherstellung verschlüsselter Systeme, bei Verhandlungen mit Bedrohungsakteuren oder bei der Stärkung Ihrer Abwehrbereitschaft benötigen, kontaktieren Sie uns noch heute für sofortige Unterstützung.