News Week: 28. Juli bis 3. August 2025

Remote-Code-Ausführung in PaperCut-Software weckt Interesse von Ransomware-Banden

Eine kürzlich gepatchte Remote-Code-Ausführungs-(RCE)-Schwachstelle in PaperCut NG/MF (CVE-2023-2533) wird nun aktiv ausgenutzt, was CISA dazu veranlasst, sofortiges Handeln zu fordern. Der Fehler ermöglicht es Angreifern, Sicherheitseinstellungen zu ändern oder beliebigen Code auszuführen, wenn ein authentifizierter Administrator auf einen manipulierten Link klickt, oft über Cross-Site Request Forgery (CSRF). Obwohl aktuelle Vorfälle nicht mit Ransomware in Verbindung gebracht wurden, haben PaperCut-Server eine Geschichte der Kompromittierung. Im Jahr 2023 nutzten Ransomware-Banden wie LockBit, Clop und Bl00dy frühere PaperCut-RCE-Schwachstellen wie CVE-2023-27350 zusammen mit CVE-2023-27351 aus, um sensible Daten zu stehlen. Die vom Iran unterstützten Gruppen Muddywater und APT35 schlossen sich ebenfalls diesen Kampagnen an. Da über 1.100 Server online exponiert sind, bleiben ungepatchte Systeme Hauptziele. CISA hat CVE-2023-2533 in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen und US-Bundesbehörden verpflichtet, bis zum 18. August zu patchen, und allen Organisationen geraten, schnell zu handeln, um potenzielle Ransomware-Infiltrationen zu blockieren.

FBI beschlagnahmt 2,4 Millionen Dollar in Bitcoin von Chaos-Ransomware-Partner

Das FBI hat über 2,4 Millionen Dollar in Bitcoin von „Hors“ beschlagnahmt, einem Partner der neuen Chaos-Ransomware-Operation, die mit Cyberangriffen auf texanische Unternehmen in Verbindung steht. Die Beschlagnahmung von insgesamt 20,289 BTC steht im Zusammenhang mit Ransomware-bezogener Erpressung und folgt einer zivilrechtlichen Einziehungsklage des US-Justizministeriums. Es wird vermutet, dass Chaos ein Rebrand der BlackSuit-Ransomware-Gruppe ist, die sich selbst aus der Royal (Quantum)-Ransomware-Gang entwickelt hat – direkte Nachfolger der berüchtigten Conti-Ransomware-Operation, die 2022 aufgelöst wurde. Contis Mitglieder spalteten sich nach ihrer Zerschlagung in mehrere Ransomware-Fraktionen auf. BlackSuit, unter Druck der Strafverfolgungsbehörden nach aufsehenerregenden Angriffen, übernahm einen neuen Verschlüsseler, bevor sie als Chaos wieder auftauchte. Forscher bestätigen starke Verbindungen zwischen Chaos und BlackSuit durch Verschlüsselungsmethoden, Lösegeldforderungsdesign und Angriffswerkzeuge. Da die Dark-Web-Sites von BlackSuit kürzlich beschlagnahmt wurden, haben die Ermittler diese Wallet möglicherweise bei laufenden Ermittlungen zu Ransomware-Varianten Conti, Royal, Quantum, BlackSuit und Chaos Ransomware-Aktivitäten entdeckt.

Orange bestätigt Cyberangriff mit möglichen Verbindungen zum Taifun Salt

Der französische Telekommunikationsriese Orange hat einen Cyberangriff bekannt gegeben, der am 25. Juli 2025 entdeckt wurde und eines seiner Informationssysteme betrifft. Orange Cyberdefense isolierte das kompromittierte System schnell, minimierte die Auswirkungen, verursachte aber vorübergehende Dienstunterbrechungen für Geschäfts- und Privatkunden in Frankreich. Obwohl keine Beweise für Datendiebstahl gefunden wurden, wird der Vorfall untersucht und die Behörden wurden benachrichtigt. Obwohl Orange den Angriff nicht zugeschrieben hat, ähnelt er Verstößen im Zusammenhang mit Chinas staatlich unterstützter Cyber-Spionagegruppe Salt Typhoon, die zuvor Telekommunikationsanbieter wie AT, Verizon, Lumen und Viasat ins Visier genommen hat. Die Kampagnen von Salt Typhoon haben Telekommunikationsnetze in Dutzenden von Ländern kompromittiert. Dies folgt auf eine Verletzung bei Orange Rumänien im Februar, wo ein Bedrohungsakteur namens „Rey“ behauptete, riesige interne Daten gestohlen zu haben. Orange bedient 294 Millionen Kunden in Europa, Afrika und dem Nahen Osten und bleibt in hoher Alarmbereitschaft, um weitere Cyber-Intrusionen zu verhindern.

SAP NetWeaver Exploit setzt Auto-Color Linux Malware ein

Hacker nutzen eine kritische SAP NetWeaver-Schwachstelle (CVE-2025-31324) aus, um die Linux-basierte Auto-Color-Malware bei gezielten Angriffen einzusetzen. Die Untersuchung von Darktrace zu einem Einbruch in ein US-Chemieunternehmen im April ergab, dass der Fehler, der laut Mandiant seit mindestens Mitte März als Zero-Day verwendet wird, die nicht authentifizierte Remote-Code-Ausführung ermöglicht, indem er das Hochladen bösartiger Binärdateien zulässt. Auto-Color ist bekannt für fortschrittliche Ausweichtaktiken, einschließlich privilegienbewusster Ausführung, Rootkit-Funktionalität, Reverse Shells und Stealth-Persistenz über ld.so.preload. Wenn sein Command-and-Control-Server nicht erreichbar ist, unterdrückt die Malware bösartige Aktivitäten, was die Analyse erschwert. Auto-Color, das erstmals im Februar 2025 dokumentiert wurde, wurde seitdem von Ransomware-Akteuren und chinesischen staatlich unterstützten Hackern bewaffnet. Die Ausnutzung des Zero-Days stieg sprunghaft an, nachdem SAP im April einen Patch veröffentlicht hatte, wobei Berichte von ReliaQuest, Onapsis und watchTowr aktive Angriffe bestätigten. Administratoren werden dringend gebeten, die Sicherheitsupdates von SAP sofort anzuwenden, um sich vor dieser sich entwickelnden Bedrohung zu schützen.

SafePay Ransomware droht mit massivem Ingram Micro Datenleck

Die SafePay-Ransomware-Bande behauptet, 3,5 TB Daten vom IT-Riesen Ingram Micro gestohlen zu haben und droht, diese auf ihrer Dark-Web-Leak-Site zu veröffentlichen. SafePay ist seit September 2024 aktiv, hat über 260 bekannte Opfer ins Visier genommen und extrahiert oft sensible Dateien, bevor Systeme verschlüsselt werden. Die Gruppe hat schnell an Bedeutung gewonnen und die Lücke gefüllt, die durch aufgelöste oder geschwächte Ransomware-Operationen wie LockBit, BlackCat (ALPHV), Conti, Royal, Quantum, BlackSuit und Chaos entstanden ist. Anfang dieses Monats erlitt Ingram Micro einen globalen Ausfall, der SafePay zugeschrieben wurde, was die Mitarbeiter zwang, remote zu arbeiten, und eine vollständige Zurücksetzung von Passwörtern und MFA-Anmeldeinformationen auslöste. Während viele Systeme innerhalb von Tagen wiederhergestellt wurden, hat das Unternehmen die Beteiligung von SafePay oder den Diebstahl von Daten nicht offiziell bestätigt. Der Vorfall unterstreicht die anhaltende Ransomware-Bedrohungslandschaft, in der sich Gruppen entwickeln oder umbenennen – oft unter Verwendung gemeinsamer Taktiken und Tools –, um den Druck auf globale High-Value-Ziele aufrechtzuerhalten.

ShinyHunters Erpressungsangriffe zielen auf Salesforce-Daten bei globalen Marken ab

ShinyHunters, verfolgt als UNC6040 und UNC6240, steht im Zusammenhang mit den jüngsten Salesforce-Datendiebstahlkampagnen, die Qantas, Allianz Life, LVMH, Adidas und mehr betreffen. Mithilfe von Vishing und Phishing – oft unter dem Deckmantel des IT-Supports – trickst die Gruppe Mitarbeiter aus, eine bösartige Salesforce Data Loader-App zu verbinden, die einen groß angelegten Datendiebstahl ermöglicht. Die Angriffe spiegeln Aktivitäten von sich überschneidenden Gruppen wie Scattered Spider (UNC3944), The Com und Mitgliedern im Zusammenhang mit dem aufgelösten Lapsus$-Kollektiv wider, die alle dafür bekannt sind, die Luftfahrt-, Einzelhandels- und Versicherungsbranche ins Visier zu nehmen. Zu den früheren aufsehenerregenden Erpressungen von ShinyHunters gehören Snowflake, PowerSchool, Oracle Cloud, ATT, NitroPDF, Wattpad und MathWay, wobei gestohlene Daten oft verkauft oder Opfer privat erpresst werden. Forscher glauben, dass diese Bedrohungscluster manchmal im Gleichschritt operieren und Taktiken und Opfer austauschen. Während Salesforce bestätigt, dass seine Plattform weiterhin nicht kompromittiert ist, unterstreichen die Vorfälle die Notwendigkeit von MFA, geringsten Privilegien und einer strengen Kontrolle über verbundene Apps, um sich gegen ShinyHunters, Scattered Spider und verwandte Cyber-Erpressungsnetzwerke zu verteidigen.

Russische staatliche Hacker nutzen ISP-Zugang für Adversary-in-the-Middle-Angriffe aus

Microsoft hat enthüllt, dass Secret Blizzard – auch bekannt als Turla, Waterbug und Venomous Bear – Adversary-in-the-Middle (AiTM)-Angriffe gegen diplomatische Missionen in Moskau durchführt, indem es den lokalen ISP-Zugang nutzt. Diese mit dem russischen FSB verbundene Gruppe nutzt ihre gegnerische Position, um Opfer auf bösartige Captive Portals umzuleiten und ApolloShadow-Malware auszuliefern, die als Kaspersky-Update getarnt ist. Nach der Installation fügt die Malware ein vertrauenswürdiges Stammzertifikat hinzu, das eine langfristige gegnerische Kontrolle über den Webverkehr zur Spionage ermöglicht. Diese Kampagnen, die seit mindestens 2024 aktiv sind, nutzen Russlands inländische Überwachungssysteme, einschließlich SORM, um die Reichweite des Gegners zu erhöhen. Die gegnerischen Taktiken von Turla haben zuvor Botschaften, NATO-Mitglieder, die NASA und EU-Ministerien ins Visier genommen und sogar die iranische OilRig- und pakistanische Storm-0156-Infrastruktur entführt, um die Zuordnung in die Irre zu führen. Secret Blizzard ist bekannt für unkonventionelle Methoden – wie die Steuerung von Malware über Britney Spears Instagram-Kommentare – und bleibt einer der hartnäckigsten gegnerischen Akteure in der globalen Cyber-Spionage, wobei der ISP-Zugang ihre AiTM-Operationen besonders gefährlich macht.

Akira Ransomware Surge zielt auf SonicWall-Geräte ab, möglicher Zero-Day vermutet

Ein Anstieg der Akira-Ransomware-Angriffe seit Mitte Juli zielt auf SonicWall-Firewall-Geräte ab, wobei Arctic Wolf vor einer wahrscheinlichen Zero-Day-Schwachstelle in SSL-VPN-Diensten warnt. Akira, das seit März 2023 aktiv ist, hat weltweit über 300 Organisationen kompromittiert und tritt in die Fußstapfen großer Ransomware-Familien wie LockBit, BlackCat (ALPHV), Conti, Royal, Quantum, BlackSuit, Chaos und SafePay. Zu den bemerkenswerten Akira-Opfern gehören Nissan, Hitachi und die Stanford University, wobei die Gruppe über 42 Millionen Dollar an Lösegeldzahlungen angehäuft hat. Bei dieser neuesten Kampagne verschafften sich Angreifer über SSL-VPN-Konten Zugriff – möglicherweise durch Brute Force, Credential Stuffing oder die Ausnutzung des vermuteten Zero-Days –, bevor sie Daten schnell verschlüsselten. Arctic Wolf beobachtete VPN-Logins von Hosting-Providern, eine Taktik, die auch in früheren Ransomware-Kampagnen zu beobachten war. Administratoren werden dringend gebeten, SonicWall SSL-VPNs zu deaktivieren, Protokolle zu überprüfen und Sicherheitspatches anzuwenden, insbesondere für SMA 100-Geräte, die bereits von anderen Bedrohungsakteuren mit der OVERSTEP-Rootkit-Malware angegriffen werden.

Fazit

Zusammenfassend unterstreicht die sich entwickelnde Bedrohungslandschaft – von fortschrittlichen Ransomware-Operationen wie Akira, Chaos und SafePay bis hin zu staatlich unterstützten Cyber-Spionagegruppen wie Salt Typhoon und Secret Blizzard – die dringende Notwendigkeit proaktiver Verteidigungsstrategien. Zero-Day-Schwachstellen, Adversary-in-the-Middle-Angriffe und gezielte Datenerpressungskampagnen erfordern kontinuierliche Wachsamkeit und schnelle Reaktion, um kritische Systeme und sensible Informationen zu schützen.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezielle Lösungen an, darunter Ransomware-Wiederherstellungsdienste, Ransomware-Verhandlungsdienste, Cyber Defense Academy, Cybersecurity-Risikovwertungen und Incident Response Retainer. Wenden Sie sich noch heute an unser Team, um Ihre Abwehrkräfte zu stärken und effektiv auf neue Bedrohungen zu reagieren.