News Week: 24. November bis 30. November 2025

Harvard-Verstoß mit Voice-Phishing und möglicher Zero-Day-Aktivität in Verbindung gebracht

Die Harvard University gab bekannt, dass sich Angreifer durch ein gezieltes Voice-Phishing-Schema Zugang zu ihren Alumni Affairs and Development-Systemen verschafft haben, wodurch Kontaktdaten und Engagement-Aufzeichnungen von Alumni, Spendern, Mitarbeitern und einigen Studenten offengelegt wurden. Obwohl keine Passwörter, Finanzdaten oder Sozialversicherungsnummern in den betroffenen Systemen gespeichert waren, wirkt sich der Vorfall dennoch auf mehrere mit der Universität verbundene Gruppen aus. Harvard arbeitet mit Strafverfolgungsbehörden und externen Cybersicherheitsspezialisten zusammen, um die Intrusion zurückzuverfolgen, und hat Benachrichtigungen herausgegeben, in denen Einzelpersonen aufgefordert werden, auf verdächtige E-Mails, Anrufe oder SMS zu achten. Die Offenlegung erfolgt kurz nach einer separaten Behauptung einer Ransomware-Gruppe, die behauptet, Harvard durch Ausnutzung einer Zero-Day-Schwachstelle angegriffen zu haben, was weitere Bedenken hinsichtlich einer breiteren systemischen Zielsetzung aufwirft. Während die Ermittlungen andauern, betont die Universität die Wachsamkeit und warnt davor, dass Angreifer möglicherweise Folgekommunikationen unter dem Deckmantel offizieller Abteilungen versuchen.

Dartmouth von Datendiebstahl im Zusammenhang mit Clop-Ransomware und Oracle Zero-Day-Missbrauch betroffen

Das Dartmouth College hat einen Sicherheitsvorfall bestätigt, nachdem Clop-Ransomware-Betreiber Dateien veröffentlicht hatten, die angeblich von den Oracle E-Business Suite-Servern der Schule stammen. Laut der Breach-Anmeldung des Colleges nutzten Angreifer einen Oracle EBS Zero-Day aus, um sensible Aufzeichnungen zu extrahieren, darunter Namen, Sozialversicherungsnummern und in einigen Fällen Finanzkontoinformationen. Während 1.494 Einzelpersonen formell benachrichtigt wurden, wird die tatsächliche Zahl voraussichtlich höher sein, da die Institution noch keine Offenlegungen in allen relevanten Staaten herausgegeben hat. Der Angriff ist Teil einer breiteren Clop-Ransomware-Kampagne, die die Zero-Day-Schwachstelle CVE-2025-61882 ausnutzt, um zahlreiche Organisationen zu infiltrieren. Zu den weiteren großen Opfern gehören Berichten zufolge die Harvard University, Logitech, GlobalLogic sowie mehrere Medien- und Fluggesellschaften. Dartmouth setzt die Untersuchung des Verstoßes fort und fordert die potenziell Betroffenen auf, weiterhin auf Folgebetrug zu achten, da Clop-Ransomware-Gruppen typischerweise gestohlene Daten für weitere Erpressungsversuche nutzen.

CodeRED-Ausfall auf INC Ransom RaaS-Angriff und Kompromittierung der Legacy-Plattform zurückgeführt

Das OnSolve CodeRED-Notfallwarnsystem erlitt eine schwere Störung nach einem Cyberangriff im Zusammenhang mit der INC Ransom Ransomware-as-a-Service (RaaS)-Gruppe. Crisis24, das die Plattform betreibt, bestätigte, dass Angreifer in die Legacy-CodeRED-Umgebung eingedrungen sind, was zu einer vollständigen Abschaltung und einem Wiederaufbau des Systems führte. Während des Eindringens stahlen Bedrohungsakteure Einwohnerdaten – Namen, Adressen, Telefonnummern, E-Mail-Adressen und sogar Passwörter, die in CodeRED-Profilen verwendet wurden. Obwohl Crisis24 sagt, dass es keine Beweise dafür gibt, dass die gestohlenen Daten öffentlich aufgetaucht sind, hat die Leak-Site von INC Ransom bereits Screenshots mit Klartext-Anmeldeinformationen veröffentlicht, eine gängige Taktik von RaaS-Gruppen, um Opfer unter Druck zu setzen. Da Backups bis zum 31. März 2025 zurückreichen, fehlen nun viele Benutzerkonten, da der Dienst wiederhergestellt wird. Der Vorfall hat in US-Städten und bei Behörden für öffentliche Sicherheit weitverbreitete Ausfälle verursacht, was unterstreicht, wie RaaS-gesteuerte Angriffe kritische Infrastrukturen auf nationaler Ebene stören können.

Asahi-Cyberangriff legt Millionen offen, wobei Qilin-Ransomware hinter dem Verstoß steckt

Die Asahi Group Holdings hat ihre Untersuchung des Cyberangriffs vom September abgeschlossen und schätzt nun, dass bis zu 1,9 Millionen Menschen betroffen waren. Das Eindringen, das letztendlich von der Qilin-Ransomware-Gruppe beansprucht wurde, führte zur Offenlegung persönlicher Daten, einschließlich Namen, Geschlecht, Adressen, Telefonnummern und E-Mail-Details – Informationen, die für Phishing-Kampagnen eingesetzt werden können. Qilin-Ransomware-Betreiber haben zuvor Beispiele der gestohlenen Dateien auf ihrer Leak-Site veröffentlicht, was sowohl den Datendiebstahl als auch das Ausmaß des Verstoßes bestätigt. Zu den betroffenen Gruppen gehören über 1,5 Millionen Kunden, externe Kontakte, aktuelle und ehemalige Mitarbeiter sowie Familienmitglieder. Asahi gibt an, dass keine Zahlungskartendaten betroffen waren, aber die Wiederherstellungsbemühungen sind zwei Monate nach dem Angriff noch im Gange. Das Unternehmen plant umfangreiche Sicherheits-Upgrades, die Verstärkung der Netzwerkkontrollen, die Bedrohungserkennung und Maßnahmen zur Geschäftskontinuität, um zukünftige Ransomware-Vorfälle im Qilin-Stil zu verhindern.

Fazit

Zusammenfassend lässt sich sagen, dass die jüngste Welle von Cybervorfällen, die auf Universitäten, Notfallwarnplattformen und globale Unternehmen abzielt, die zunehmende Raffinesse von Ransomware-Betreibern und die Ausnutzung von Zero-Day-Schwachstellen hervorhebt. Diese Angriffe unterstreichen die dringende Notwendigkeit proaktiver Sicherheitsstrategien, schneller Erkennungsfähigkeiten und einer starken Vorbereitung auf Vorfälle in allen Sektoren.

Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir umfassende Unterstützung durch unsere Ransomware-Wiederherstellungsdienste, fachkundige Beratung mit Ransomware-Verhandlungsdiensten und fortlaufenden Schutz über unseren Incident Response Retainer. Wenn Sie Ihre Abwehr stärken oder nach einem Angriff sofortige Hilfe benötigen, wenden Sie sich noch heute an unser Team.