News Week: 30. Juni bis 6. Juli 2025

Ransomware-Angriff auf Radix betrifft Schweizer Regierungsstellen

Eine Ransomware-Kompromittierung, die sich gegen die Schweizer Non-Profit-Organisation Radix richtete, hat sensible Daten mehrerer Bundesbehörden kompromittiert. Der Angriff wurde von der Sarcoma-Gruppe durchgeführt, die Phishing-Taktiken, veraltete Schwachstellen und insbesondere den Zugriff über das Remote Desktop Protocol (RDP) nutzte, um in das System einzudringen. Nach dem Diebstahl und der Verschlüsselung der Daten veröffentlichten die Angreifer 1,3 TB an Dokumenten – darunter Verträge, Scans und Finanzdateien – auf ihrem Darknet-Portal. Radix, das staatlich unterstützte Gesundheitsprojekte betreibt, hat betroffene Personen benachrichtigt und zur Wachsamkeit gegenüber Phishing und dem Diebstahl von Anmeldeinformationen aufgerufen. Das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz untersucht das Ausmaß der Offenlegung. Obwohl derzeit keine Anzeichen dafür vorliegen, dass Daten von Partnerinstitutionen abgerufen wurden, verdeutlicht die Kompromittierung wachsende Bedrohungen über RDP-Zugangspunkte. Der Vorfall folgt auf einen ähnlichen Ransomware-Angriff im Jahr 2023 auf den staatlichen Dienstleister Xplain, der zu einem Leak von 65.000 internen Dokumenten führte.

Doppelte Erpressung durch Dark Angels trifft Johnson Controls

Johnson Controls benachrichtigt nun Personen, die von dem massiven Ransomware-Angriff betroffen sind, der 2023 den weltweiten Betrieb des Unternehmens störte. Die Kompromittierung, die mit der Ransomware-Gruppe Dark Angels in Verbindung gebracht wird, führte sowohl zum Diebstahl als auch zur Verschlüsselung kritischer Daten – ein Beispiel für die charakteristische Doppelerpressungsmethode der Gruppe. Die Angreifer infiltrierten Systeme bereits im Februar 2023 und stahlen schließlich über 27 TB an sensiblen Dateien, bevor sie VMware ESXi-Virtualmaschinen verschlüsselten. Die gestohlenen Daten wurden als Druckmittel für eine Lösegeldforderung von 51 Millionen US-Dollar verwendet und später auf dem Leak-Portal von Dark Angels, Dunghill Leaks, veröffentlicht. Bekannt für die Kombination von Datendiebstahl mit Systemblockaden, verschafft sich Dark Angels typischerweise Zugang über Domänencontroller und setzt sowohl Windows- als auch Linux-Verschlüsseler ein. Obwohl Johnson Controls über 27 Millionen US-Dollar für Reaktion und Wiederherstellung ausgegeben hat, bleiben die langfristigen Folgen des Leaks erheblich. Der Vorfall unterstreicht die wachsende Bedrohung durch Doppelerpressungskampagnen von Gruppen wie Dark Angels.

Aeza-Gruppe wegen Bulletproof-Hosting im Zusammenhang mit BianLian sanktioniert

Das US-Finanzministerium hat den russischen Hosting-Anbieter Aeza Group sanktioniert, weil er als Bulletproof-Hosting-Dienst Cyberkriminelle, einschließlich der Ransomware-Bande BianLian, unterstützt hat. Bulletproof-Hosting-Dienste wie Aeza sind berüchtigt dafür, bösartige Akteure zu schützen, indem sie Missbrauchsmeldungen und Aufforderungen zur Abschaltung durch Strafverfolgungsbehörden ignorieren. Die Infrastruktur von Aeza wurde angeblich nicht nur von BianLian, sondern auch von Betreibern von RedLine-Infostealer-Panels und dem Darknet-Drogenmarkt BlackSprut genutzt. Die Sanktionen richten sich auch gegen vier wichtige Aeza-Führungskräfte, frieren deren US-Vermögenswerte ein und verbieten amerikanischen Unternehmen, Geschäfte mit ihnen zu tätigen. Aeza wurde zuvor mit der russischen Desinformationskampagne „Doppelgänger“ in Verbindung gebracht, die westliche Nachrichtenagenturen nachahmte, um Propaganda zu verbreiten. Diese Maßnahme baut auf OFACs früherem Vorgehen gegen ähnliche Bulletproof-Hosts wie ZServers und Xhost auf. Durch die Unterstützung der Ransomware-Operationen von BianLian spielte Aeza eine zentrale Rolle bei der Ermöglichung von Datendiebstahl, Erpressung und Malware-Verbreitung auf globaler Ebene.

AT&T führt Wireless Lock zur Bekämpfung von SIM-Swaps im Zusammenhang mit Scattered Spider ein

AT&T hat „Wireless Lock“ eingeführt, eine neue Funktion, die SIM-Swap-Angriffe stoppen soll – eine Methode, die häufig von Bedrohungsgruppen wie der Scattered Spider Ransomware verwendet wird, um hochwertige Ziele zu infiltrieren. SIM-Swapping ermöglicht es Angreifern, die Telefonnummer eines Opfers zu kapern, Anrufe und Nachrichten abzufangen und Zugang zu Bank-, E-Mail- oder Krypto-Konten zu erhalten. Scattered Spider, eine bekannte Cyberkriminalitätsgruppe, hat diese Technik genutzt, um Unternehmensnetzwerke zu kompromittieren und hochkarätige Angriffe durchzuführen. Die neue Funktion blockiert jegliche Nummernübertragungen oder Kontoänderungen, selbst durch AT&T-Mitarbeiter, es sei denn, der Benutzer deaktiviert die Sperre manuell über die App oder das Webportal. Sie verhindert auch Änderungen an Rechnungsinformationen, autorisierten Benutzern und Telefonnummern. Geschäftsanwender erhalten erweiterte Kontrollen, einschließlich Ausnahmen für bestimmte Leitungen. Während konkurrierende Anbieter wie Verizon seit Jahren ähnliche Schutzmaßnahmen anbieten, ist der Schritt von AT&T ein willkommener Fortschritt, insbesondere da Gruppen wie Scattered Spider weiterhin schwache SIM-Schutzmaßnahmen bei Social Engineering und Insider-gestützten Schemata ausnutzen.

Qantas-Cyberangriff verdeutlicht wachsende Scattered Spider-Bedrohung

Qantas hat einen Cyberangriff bestätigt, der eine von seinem Callcenter genutzte Drittanbieterplattform betrifft und potenziell Daten von bis zu 6 Millionen Kunden offengelegt hat. Obwohl keine Finanzdaten oder Anmeldeinformationen kompromittiert wurden, wurden Namen, E-Mails, Telefonnummern und Vielfliegernummern abgerufen. Obwohl Qantas die Kompromittierung nicht offiziell mit Scattered Spider in Verbindung gebracht hat, weist der Angriff auffällige Ähnlichkeiten mit jüngsten Kampagnen der Gruppe auf, die auch als 0ktapus, UNC3944, Scatter Swine, Starfraud und Muddled Libra bekannt ist. Scattered Spider ist berüchtigt für Social-Engineering-Angriffe, die SIM-Swaps, Phishing, MFA-Müdigkeit und Helpdesk-Manipulation umfassen. Die Gruppe griff zuvor Luftfahrtziele wie Hawaiian Airlines und WestJet an und arbeitete mit Ransomware-Syndikaten wie RansomHub, Qilin Ransomware und DragonForce Ransomware zusammen. Bei ihrem MGM Resorts-Angriff setzten sie die BlackCat Ransomware ein, um über 100 ESXi-Hypervisoren zu verschlüsseln. Da Scattered Spider seine Reichweite in der Luftfahrt ausdehnt, fordern Experten Organisationen dringend auf, Identitätssysteme zu sichern und Passwort-Reset-Prozesse zu härten.

Spanien verhaftet Hacker im Zusammenhang mit Datenlecks, die Beamte und Medien zum Ziel haben

Die spanischen Behörden haben in Las Palmas zwei Personen wegen der Orchestrierung von Cyberangriffen auf Politiker, Regierungsinstitutionen und Journalisten verhaftet – ein schwerer Schlag gegen Untergrund-Hacker-Netzwerke. Das Duo, das als „ernsthafte Bedrohung für die nationale Sicherheit“ bezeichnet wurde, exfiltrierte sensible Daten, die mit zentralen und regionalen Beamten in Verbindung standen und später online geleakt wurden, um ihre Glaubwürdigkeit und ihren Verkaufswert zu steigern. Ein Verdächtiger spezialisierte sich auf Datendiebstahl, während der andere Verkäufe und Kryptowährungstransaktionen abwickelte. Die Polizei beschlagnahmte bei den Razzien elektronische Geräte, die weitere Verbindungen zu Käufern oder organisierter Cyberkriminalität aufdecken könnten. Diese Verhaftung folgt auf eine Reihe erfolgreicher Operationen der spanischen Strafverfolgungsbehörden gegen Hackerbanden. In den letzten Jahren haben sie Verdächtige festgenommen, die mit Angriffen auf die NATO, die US-Armee und das Verteidigungsministerium in Verbindung gebracht wurden. Bemerkenswert ist, dass sie 2024 einen britischen Staatsbürger festnahmen, der mit der Scattered Spider-Gruppe in Verbindung stand, und 2023 wurden auch die mutmaßlichen Rädelsführer von Kelvin Security – verantwortlich für 300 internationale Cyberangriffe – festgenommen.

US-Justizministerium ermittelt gegen Ransomware-Verhandlungsführer wegen Erpressungs-Kickbacks

Das US-Justizministerium ermittelt gegen einen ehemaligen Ransomware-Verhandlungsführer von DigitalMint wegen angeblicher Kollusion mit Ransomware-Banden, um von Erpressungsgeschäften zu profitieren. DigitalMint, ein in Chicago ansässiges Unternehmen, das für die Abwicklung von über 2.000 Ransomware-Verhandlungen bekannt ist, spezialisiert sich auf die Erleichterung von Krypto-Lösegeldern für Entschlüsseler oder die Datenunterdrückung. Der ehemalige Mitarbeiter wird verdächtigt, heimlich Lösegeldgeschäfte abgeschlossen und Kickbacks erhalten zu haben, während die Kunden unwissentlich die überhöhte Rechnung bezahlten. Während DigitalMint sich von der Person distanziert und mit den Behörden kooperiert, haben einige Anwalts- und Versicherungsfirmen begonnen, von der Nutzung ihrer Dienste während der Untersuchung abzuraten. Der Fall wirft Licht auf langjährige Bedenken hinsichtlich der Korruption bei Verhandlungsdiensten, wo finanzielle Anreize die objektive Beratung verzerren können. Experten wie Covewares CEO Bill Siegel kritisieren seit langem prozentbasierte Geschäftsmodelle in der Incident-Response-Branche und warnen davor, dass sie moralische Risiken schaffen und höhere Lösegeldzahlungen fördern, anstatt die besten Interessen des Opfers zu priorisieren.

Hunters International RaaS stellt Betrieb ein und bietet kostenlose Entschlüsseler an

Hunters International, eine große Ransomware-as-a-Service (RaaS)-Operation, hat ihre Aktivitäten offiziell eingestellt und stellt Opfern nun kostenlose Entschlüsseler zur Verfügung. In einer auf ihrem Darknet-Portal veröffentlichten Erklärung räumte die Gruppe die Auswirkungen ihrer Handlungen ein und bot Entschlüsselungstools an, um betroffenen Organisationen bei der Wiederherstellung ihrer Daten ohne Lösegeldzahlungen zu helfen. Bekannt dafür, weltweit über 300 Unternehmen ins Visier genommen zu haben – darunter hochkarätige Opfer wie der U.S. Marshals Service und Integris Health – kombinierte die RaaS-Gruppe zuvor Verschlüsselung und Datenerpressung. Obwohl die Bande nicht angab, was zur Abschaltung führte, nannten frühere Berichte erhöhten Druck durch die Strafverfolgungsbehörden und Rentabilitätsprobleme. Das Threat-Intelligence-Unternehmen Group-IB stellte fest, dass Hunters zu einem reinen Erpressungsmodell namens „World Leaks“ übergegangen war. Anfänglich wurde vermutet, dass es sich aufgrund von Code-Ähnlichkeiten um ein Rebranding der Hive-Ransomware handelte. Hunters International unterstützte Multi-Plattform-Payloads und wurde vor seinem abrupten Rückzug zu einem prominenten Namen im RaaS-Ökosystem.

SafePay-Ransomware stört Ingram Micro bei großem RaaS-Angriff

Ingram Micro, einer der weltweit größten Tech-Distributoren, erlitt einen größeren Ausfall, der durch einen SafePay-Ransomware-Angriff verursacht wurde – Teil einer wachsenden Welle von Ransomware-as-a-Service (RaaS)-Vorfällen im Jahr 2025. Mitarbeiter entdeckten die Kompromittierung erstmals, als SafePay-Lösegeldforderungen am frühen Donnerstagmorgen auf den Systemen erschienen, was zur Abschaltung interner Dienste und einer unternehmensweiten Umstellung auf Remote-Arbeit führte. Obwohl anfängliche Bedenken auf kompromittierte Anmeldeinformationen über das GlobalProtect VPN hindeuteten, bestätigte Palo Alto Networks später, dass seine Systeme nicht ausgenutzt wurden. SafePay, eine aufstrebende RaaS-Operation, die Ende 2024 erstmals entdeckt wurde, hat bereits über 220 Opfer gefordert, indem sie VPN-Zugriffe ausnutzte und Password-Spray-Angriffe startete. Betroffene Systeme umfassen Ingrams Xvantage-Distributionsplattform und Impulse-Lizenzierung, während Dienste wie Microsoft 365 und Teams weiterhin betriebsbereit sind. Ingram Micro hat seitdem begonnen, die Funktionalität wiederherzustellen und arbeitet mit Cybersicherheitsexperten und Strafverfolgungsbehörden zusammen, um die Kompromittierung zu untersuchen und zu mindern.

Atomic macOS Infostealer entwickelt sich zu persistenter MaaS-Backdoor-Bedrohung

Der Atomic macOS Stealer (AMOS), ein bekannter Malware-as-a-Service (MaaS)-Stamm, hat einen gefährlichen Sprung nach vorne gemacht, indem er eine persistente Backdoor integriert hat, die Angreifern unbegrenzten Zugriff auf kompromittierte Systeme gewährt. Forscher von Moonlock, einer Cybersicherheitsabteilung von MacPaw, fanden heraus, dass die neueste AMOS-Variante nun beliebige Remote-Befehle ausführt, Neustarts über LaunchDaemons überlebt und mit verschleierten Zeichenketten unentdeckt bleibt. Ursprünglich für 1.000 US-Dollar/Monat auf Telegram verkauft, begann Atomic als datensammelnde MaaS, die auf Krypto-Wallets, im Browser gespeicherte Passwörter und macOS-Dateien abzielte. Die neue Version lädt eine versteckte Binärdatei namens „.helper“ herunter und führt sie über „.agent“-Skripte beim Systemstart persistent aus. Die Malware missbraucht gestohlene Benutzeranmeldeinformationen, um Privilegien zu erhöhen, was Änderungen auf Root-Ebene ermöglicht. AMOS-Kampagnen – die jetzt über 120 Länder betreffen – werden zunehmend gezielter und konzentrieren sich auf Krypto-Benutzer und Freiberufler. Obwohl AMOS keine Ransomware ist, signalisiert seine Entwicklung eine Konvergenz mit Ransomware-Taktiken, und zukünftige Varianten könnten sogar verschlüsselte Payloads und .atomic-Dateierweiterungen übernehmen, um Benutzer direkt zu erpressen.

Russischer Basketballspieler wegen angeblicher Rolle bei Conti-Ryuk-Ransomware-Operationen verhaftet

Der russische Profi-Basketballspieler Daniil Kasatkin wurde in Frankreich auf Antrag der US-Behörden wegen angeblicher Tätigkeit als Verhandlungsführer für eine produktive Ransomware-Bande verhaftet. Die Verhaftung erfolgte am 21. Juni am Flughafen Charles de Gaulle, und Kasatkin droht nun die Auslieferung wegen des Vorwurfs der Verschwörung zum Computerbetrug. Obwohl die spezifische beteiligte Gruppe nicht offiziell genannt wurde, spiegelt der Umfang – über 900 Unternehmens- und Bundesopfer zwischen 2020 und 2022 – die Aktivitäten der Conti-Ransomware-Bande wider, einer Gruppe, die sich aus der berüchtigten Ryuk-Ransomware-Operation entwickelte. Conti, das 2020 entstand und 2022 zerschlagen wurde, spielte eine zentrale Rolle in großen Ransomware-Kampagnen und war bekannt für seine aggressiven Doppelerpressungstaktiken. Sowohl Conti als auch Ryuk verließen sich stark auf menschliche Verhandlungsführer, um massive Lösegeldzahlungen zu erpressen, was Kasatkins angebliche Beteiligung besonders bedeutsam macht. Seine Verteidigung behauptet, er sei unwissentlich über einen gebrauchten, kompromittierten Computer hereingelegt worden.

Fazit

Die zunehmende Raffinesse von Ransomware-Operationen wie Conti und Ryuk unterstreicht die dringende Notwendigkeit für Organisationen, sich auf fortgeschrittene Cyberbedrohungen vorzubereiten. Die Verhaftung von Daniil Kasatkin verdeutlicht, wie stark Ransomware-Gruppen auf menschliche Vermittler angewiesen sind, um Verhandlungen zu führen und Opfer zu erpressen, oft unbemerkt. Während sich Ransomware-as-a-Service-Operationen weiterentwickeln, müssen sich auch die Verteidigungsstrategien von Unternehmen weltweit weiterentwickeln.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Wiederherstellungsdienste und Ransomware-Verhandlungsdienste an. Wenn Ihre Organisation Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung ihrer Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute. Wir bieten auch umfassende Schulungen über unsere Cyber Defense Academy an, führen umfassende Cybersicherheits-Risikobewertungen durch und bieten proaktive Unterstützung mit unserem Incident Response Retainer.

Kontaktieren Sie uns jetzt, um Ihr Unternehmen zu sichern und unser vollständiges Angebot an Ransomware-Entschlüsselungsdienst-Optionen zu entdecken.