News Week: 21. Juli bis 27. Juli 2025

Über 1.000 CrushFTP-Server Zero-Day-Exploit- und Ransomware-Bedrohungen ausgesetzt

Mehr als 1.000 CrushFTP-Server sind weiterhin anfällig für eine kritische Zero-Day-Schwachstelle, wodurch sie dem Risiko von Entführungsversuchen und Datenschutzverletzungen ausgesetzt sind. Das Problem, das als CVE-2025-54309 verfolgt wird, rührt von einer unsachgemäßen AS2-Validierung her und betrifft alle Versionen unter 10.8.5 und 11.3.4_23. Obwohl bereits ein Fix veröffentlicht wurde, sind viele Systeme weiterhin ungepatcht und anfällig für Exploits. Es wird vermutet, dass Angreifer die Software per Reverse Engineering analysiert und die Schwachstelle genutzt haben, um administrativen Zugriff auf die Weboberfläche zu erhalten. Shadowserver berichtet, dass über 1.040 betroffene Instanzen noch online sind, wodurch potenziell sensible Daten offengelegt werden. Obwohl es keine konkreten Beweise dafür gibt, dass die aktuellen Angriffe mit bestimmten Bedrohungsakteuren in Verbindung stehen, haben Ransomware-Gangs wie Clop in der Vergangenheit Zero-Days in ähnlichen Plattformen zur Dateiübertragung ausgenutzt. Da CrushFTP seine Kunden dringend auffordert, automatische Updates zu aktivieren und den Administratorzugriff per IP einzuschränken, unterstreicht die Situation das wachsende Ransomware-Risiko für Unternehmen, die auf veraltete oder ungeschützte Managed-File-Transfer-Systeme angewiesen sind.

Chinesische Hacker nutzen Microsoft SharePoint Zero-Day bei ToolShell-Angriffen aus

Mehrere chinesische staatliche Akteure wurden mit einer ausgeklügelten Zero-Day-Kampagne in Verbindung gebracht, die Schwachstellen in Microsoft SharePoint-Servern ausnutzt. Die Exploit-Kette, bekannt als „ToolShell“, zielt auf lokale SharePoint-Instanzen ab und ermöglicht die nicht authentifizierte Remote-Codeausführung. Microsoft hat die Angriffe Gruppen wie Linen Typhoon, Violet Typhoon und Storm-2603 zugeschrieben, die alle aktiv Regierungs-, Telekommunikations- und Unternehmenssysteme in Nordamerika und Europa kompromittieren. Mindestens 54 Organisationen wurden bereits kompromittiert. Trotz der kürzlichen Notfall-Patches wurde ein Proof-of-Concept für CVE-2025-53770 auf GitHub veröffentlicht, was das Risiko eines weitverbreiteten Missbrauchs durch zusätzliche Bedrohungsakteure erhöht. CISA hat den Zero-Day inzwischen in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen und fordert ein sofortiges Patchen. Da öffentliche Exploits jetzt verfügbar sind und Angreifer über bösartige Web-Shells auf interne Systeme zugreifen, bleibt die Bedrohung hoch. Die Angriffswelle erinnert an frühere Ransomware- und Spionageoperationen, die Zero-Day-Schwachstellen für den ersten Zugriff nutzten.

UK verbietet Lösegeldzahlungen im öffentlichen Sektor nach DragonForce-Angriff

Die britische Regierung geht dazu über, Lösegeldzahlungen durch den öffentlichen Sektor und kritische Infrastruktureinrichtungen zu verbieten, um die finanziellen Anreize zu bekämpfen, die Ransomware-Gangs antreiben. Die Entscheidung folgt auf eine Reihe von aufsehenerregenden Angriffen, darunter der jüngste DragonForce-Ransomware-Angriff auf den Einzelhändler Marks & Spencer, der den Betrieb in 1.400 Filialen durch die Verschlüsselung von VMware ESXi-Hosts störte. Nach dem vorgeschlagenen Gesetz wird es Institutionen wie dem NHS, Schulen und Gemeinderäten untersagt, Lösegelder zu zahlen, um öffentliche Dienste für Bedrohungsakteure weniger attraktiv zu machen. Während private Unternehmen weiterhin ausgenommen sind, müssen sie jede Absicht zur Zahlung melden, insbesondere wenn sanktionierte Ransomware-Gruppen – viele davon mit Sitz in Russland – beteiligt sind. Die Behörden implementieren außerdem einen obligatorischen Melderahmen, um Untersuchungen und die Reaktion auf Opfer zu unterstützen. Da Ransomware-Gangs immer dreister werden und Zero-Day-Exploits nutzen, signalisiert das Vereinigte Königreich eine einheitliche Haltung gegen Cyber-Erpressung und versucht, das Ökosystem zu zerschlagen, das es Gruppen wie DragonForce ermöglicht, erfolgreich zu sein.

Cisco ISE RCE-Schwachstellen werden jetzt aktiv bei gezielten Angriffen ausgenutzt

Cisco hat bestätigt, dass drei kritische Remote Code Execution (RCE)-Schwachstellen in seiner Identity Services Engine (ISE) jetzt aktiv ausgenutzt werden. Die Schwachstellen – CVE-2025-20281, CVE-2025-20282 und CVE-2025-20337 – ermöglichen es nicht authentifizierten Angreifern, über bösartige API-Anfragen oder Datei-Uploads Root-Level-Zugriff zu erhalten. Alle drei haben eine maximale CVSS-Bewertung von 10,0 und stellen eine ernsthafte Bedrohung für die Netzwerksicherheit von Unternehmen dar. Cisco ISE wird häufig verwendet, um Zugriffskontrollen und Sicherheitsrichtlinien in großen Organisationen durchzusetzen, was diese RCE-Fehler für Bedrohungsakteure besonders attraktiv macht. Während das Unternehmen die in freier Wildbahn verwendeten Methoden nicht detailliert beschrieben hat, fordert es seine Kunden dringend auf, sofort auf gepatchte Versionen zu aktualisieren: 3.3 Patch 7 oder 3.4 Patch 2. Es gibt keine verfügbaren Workarounds, sodass das Patchen die einzige Verteidigung darstellt. Da nicht authentifizierte RCE-Exploits zunehmend von Ransomware-Gangs und APT-Gruppen verwendet werden, stellen diese Software-Schwachstellen einen kritischen Vektor für eine potenzielle netzwerkweite Kompromittierung dar.

Interlock-Ransomware eskaliert Double-Extortion-Angriffe, warnen CISA und FBI

Das FBI und CISA haben eine gemeinsame Warnung vor einem Anstieg der Interlock-Ransomware-Aktivität herausgegeben und die Verwendung aggressiver Double-Extortion-Taktiken durch die Gruppe hervorgehoben. Seit ihrem Aufkommen Ende 2024 hat Interlock seine Operationen rasch ausgeweitet und zielt auf kritische Infrastruktur- und Gesundheitsorganisationen weltweit ab. Die Gang verschlüsselt nicht nur die Systeme der Opfer, sondern exfiltriert auch sensible Daten und nutzt deren Leckage als zusätzlichen Lösegelddruck. Zu den jüngsten Angriffen gehören größere Verstöße bei DaVita und Kettering Health mit über 1,5 TB gestohlener Daten. Interlock hat auch einzigartige Bereitstellungsmethoden wie ClickFix und die neue Social-Engineering-Technik FileFix verwendet, um sich zunächst Zugriff zu verschaffen und Remote-Access-Trojaner wie NodeSnake einzusetzen. Die sich entwickelnden Taktiken der Gruppe unterstreichen die dringende Notwendigkeit verbesserter Cyber-Abwehr. Die Behörden empfehlen DNS-Filterung, strenge Identitäts- und Zugriffskontrollen sowie regelmäßiges Patchen, um die Bedrohung durch Interlock-Ransomware und ihre zunehmend ausgefeilten Double-Extortion-Kampagnen zu mindern.

Ukraine verhaftet mutmaßlichen Administrator des XSS-Cybercrime-Forums im Zusammenhang mit RaaS-Operationen

Ukrainische Behörden haben in Zusammenarbeit mit französischen Staatsanwälten und Europol den mutmaßlichen Administrator des berüchtigten russischsprachigen Hacking-Forums XSS.is verhaftet. XSS ist seit 2013 aktiv und hat sich als wichtiges Zentrum für Cyberkriminelle einen Namen gemacht, das über 50.000 Benutzer beherbergt, die am Verkauf von Malware, dem Angebot von Erstzugriff auf kompromittierte Systeme und der Förderung von Ransomware-as-a-Service (RaaS)-Plattformen beteiligt sind. Trotz eines öffentlichen Verbots von Ransomware-Diskussionen im Jahr 2021 zeigten abgefangene Nachrichten vom verschlüsselten Jabber-Server „thesecure.biz“ laufende RaaS-bezogene Aktivitäten, die mindestens 7 Millionen US-Dollar Gewinn generierten. Die 2021 von französischen Behörden eingeleitete Untersuchung gipfelte in der Zerschlagung des Forums und der Verhaftung seines mutmaßlichen Administrators. Strafverfolgungsbehörden haben Berichten zufolge nun Zugriff auf das Backend des Forums, wodurch potenziell zahlreiche Benutzer offengelegt werden, die in Ransomware und Cyber-Erpressung verwickelt sind. Die Zerschlagung von XSS.is, einem zentralen Marktplatz für RaaS-Akteure, stellt einen bedeutenden Schlag für das Cybercrime-Ökosystem dar und könnte weitere Ransomware-Operationen kurzfristig verhindern.

US-Atomwaffenbehörde über SharePoint Zero-Day-Exploit-Kette kompromittiert

Unbekannte Bedrohungsakteure nutzten eine Microsoft SharePoint Zero-Day-Schwachstellenkette aus, um in die Netzwerke des US-Energieministeriums, einschließlich der National Nuclear Security Administration (NNSA), einzudringen. Die NNSA, die für die Verwaltung des US-Atomwaffenarsenals und die Notfallreaktion auf nukleare Ereignisse zuständig ist, bestätigte den Einbruch letzte Woche. Obwohl Berichten zufolge nur eine kleine Anzahl von Systemen betroffen war, unterstreicht der Verstoß die kritische Gefahr, die von Zero-Day-Schwachstellen in weit verbreiteten Unternehmensplattformen ausgeht. Dieselbe ToolShell-Exploit-Kette hat bereits über 400 Server und 148 Organisationen weltweit kompromittiert, darunter Regierungsstellen in Europa, dem Nahen Osten und mehreren US-Bundesstaaten. Microsoft und Google haben die Angriffe chinesischen staatlich geförderten Akteuren wie Linen Typhoon und Violet Typhoon zugeschrieben. CISA hat CVE-2025-53770, einen Teil der ToolShell-Zero-Day-Kette, in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen und eine sofortige Behebung in allen föderalen Netzwerken angeordnet, um weitere Eindringlinge zu verhindern.

Warlock- und Lockbit-Ransomware bei SharePoint Zero-Day-Angriffen eingesetzt

Microsoft hat bestätigt, dass die in China ansässige Hackergruppe Storm-2603 die SharePoint ToolShell Zero-Day-Kette ausnutzt, um Warlock-Ransomware in kompromittierten Netzwerken einzusetzen. In einigen Fällen wurde auch Lockbit-Ransomware beobachtet. Diese Angriffe beginnen mit der Ausnutzung ungepatchter SharePoint-Server, gefolgt vom Diebstahl von Anmeldeinformationen mit Mimikatz, um Klartextpasswörter aus dem LSASS-Speicher zu extrahieren. Angreifer breiten sich dann lateral mit PsExec, Impacket und WMI aus und übertragen Warlock-Ransomware über Gruppenrichtlinienobjekte. Laut Shadowserver sind über 420 anfällige SharePoint-Server weiterhin online verfügbar. Microsoft hat auch die Bedrohungsgruppen Linen Typhoon und Violet Typhoon mit diesen Exploits in Verbindung gebracht, die ursprünglich in CVE-2025-49706 und CVE-2025-49704 identifiziert wurden. Mit mindestens 400 infizierten Servern und 148 kompromittierten Organisationen weltweit – darunter das US-Energieministerium und die National Institutes of Health – bleibt die ToolShell Zero-Day-Kette ein wichtiger Vektor für die Bereitstellung von Ransomware. CISA hat ein dringendes Patchen von CVE-2025-53770 angeordnet, um weitere Infektionen zu verhindern.

BlackSuit-Ransomware-Sites bei Operation Checkmate inmitten von Royal-Rebrand-Links beschlagnahmt

Strafverfolgungsbehörden haben die Dark-Web-Infrastruktur der BlackSuit-Ransomware-Gang in einer koordinierten globalen Aktion namens Operation Checkmate beschlagnahmt. U.S. Homeland Security Investigations beschlagnahmte zusammen mit internationalen Partnern die .onion-Erpressungsportale von BlackSuit, einschließlich Datenleck- und Verhandlungsseiten, die verwendet wurden, um Opfer zu Lösegeldzahlungen zu zwingen. BlackSuit hat Wurzeln, die auf Quantum-Ransomware zurückgehen und später in Royal-Ransomware umbenannt wurden, bevor sie ihren aktuellen Namen annahm. Forscher glauben nun, dass die Gang eine weitere Umbenennung unter dem Namen Chaos-Ransomware vorbereitet. Cisco Talos berichtet überlappende Taktiken, Verschlüsselungsmethoden und die Struktur von Lösegeldforderungen bei BlackSuit-, Royal- und Quantum-Operationen. Seit 2022 hat die Gang über 350 Organisationen ins Visier genommen und mehr als 500 Millionen US-Dollar an Lösegeldzahlungen gefordert. CISA und das FBI bestätigten zuvor die Verbindung zwischen Royal und BlackSuit und hoben ihre gemeinsame Infrastruktur und Techniken hervor. Die Zerschlagung stellt eine erhebliche Störung einer der produktivsten Ransomware-Gruppen dar, die unter aufeinanderfolgenden Identitäten operieren.

Post SMTP-Plugin-Schwachstelle gefährdet 200.000 WordPress-Sites

Eine kritische Software-Schwachstelle im beliebten Post SMTP-Plugin setzt über 200.000 WordPress-Websites dem potenziellen Risiko einer Admin-Entführung aus. Die Schwachstelle, die als CVE-2025-24000 verfolgt wird, rührt von einer fehlerhaften Zugriffskontrolle in der REST-API des Plugins her, die es jedem angemeldeten Benutzer – unabhängig von seiner Rolle – ermöglicht, auf sensible E-Mail-Protokolle zuzugreifen. Auf betroffenen Websites können Angreifer mit Zugriff auf Abonnentenebene Passwort-Reset-E-Mails für Admin-Konten abfangen und die vollständige Kontrolle übernehmen. Post SMTP, das auf über 400.000 Websites installiert ist, dient als Ersatz für die Standard-E-Mail-Funktion von WordPress. Obwohl am 11. Juni ein Patch in Version 3.3.0 veröffentlicht wurde, zeigen Download-Statistiken, dass weniger als die Hälfte der Benutzer das Update angewendet hat. Besorgniserregend ist, dass fast 97.000 Websites immer noch ältere 2.x-Versionen ausführen, die anfällig für zusätzliche Sicherheitslücken sind. Website-Besitzer werden dringend aufgefordert, sofort ein Update durchzuführen, um die Ausnutzung dieser WordPress-Plugin-Schwachstelle zu verhindern.

Scattered Spider zielt bei ausgeklügelten Ransomware-Angriffen auf VMware ESXi ab

Scattered Spider, eine finanziell motivierte Bedrohungsgruppe, die auch als UNC3944 oder Octo Tempest bekannt ist, verstärkt ihre Angriffe auf VMware ESXi-Hypervisoren in US-Branchen. Im Gegensatz zu typischen Exploits verlässt sich die Gruppe auf fortschrittliches Social Engineering, um sich zunächst Zugriff zu verschaffen, indem sie Mitarbeiter imitiert und IT-Helpdesks manipuliert, um Anmeldeinformationen zurückzusetzen. Sobald Scattered Spider im System ist, identifiziert es hochwertige Ziele, einschließlich VMware vSphere-Administratoren, und eskaliert Berechtigungen, um die Kontrolle über die virtuelle Umgebung zu übernehmen. Zu ihren Taktiken gehören das Aktivieren von SSH auf ESXi-Hosts, das Zurücksetzen von Root-Passwörtern und das Ausführen von Disk-Swap-Angriffen, um sensible Active Directory-Daten zu extrahieren. Mit vollständiger Kontrolle deaktivieren sie Backups und setzen Ransomware ein, um virtuelle Maschinendateien zu verschlüsseln. Obwohl keine Software-Schwachstellen ausgenutzt werden, erreicht die Gruppe die vollständige Beherrschung der virtuellen Infrastruktur. Die Threat Intelligence Group von Google warnt davor, dass die Angriffskette von Scattered Spider – von der Infiltration bis zum Einsatz von Ransomware – innerhalb von Stunden ablaufen kann, was eine ernsthafte Bedrohung für unzureichend geschützte VMware-Umgebungen darstellt.

Fazit

Die Fähigkeit von Scattered Spider, ganze VMware ESXi-Umgebungen allein durch Social Engineering zu kompromittieren, unterstreicht die dringende Notwendigkeit proaktiver Cybersicherheitsmaßnahmen. Da Angreifer traditionelle Schutzmaßnahmen umgehen und Ransomware innerhalb von Stunden einsetzen, müssen Organisationen wachsam und vorbereitet bleiben.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Wiederherstellungsdienste, Ransomware-Lösegeldverhandlungsdienste und umfassende Schulungen durch unsere Cyber Defense Academy an. Stärken Sie Ihre Abwehr weiter mit einer Cybersicherheits-Risikobewertung oder stellen Sie eine schnelle Reaktionsfähigkeit mit unserem Incident Response Retainer sicher.