News Week: 7. Juli bis 13. Juli 2025

Chinesischer Staatsbürger in Italien wegen Verbindungen zur Silk Typhoon Cyberespionage verhaftet

Ein chinesischer Staatsbürger wurde Anfang des Monats am Mailänder Flughafen Malpensa unter dem Verdacht der Verbindungen zu Silk Typhoon, einer staatlich unterstützten Hackergruppe, die auch als Hafnium bekannt ist, verhaftet. Der 33-jährige Verdächtige, Xu Zewei, wurde aufgrund eines internationalen Haftbefehls der USA festgenommen und soll mit Cyberangriffen auf amerikanische Institutionen und Gesundheitsforscher in Verbindung stehen. Italienische Berichte deuten auf seine Beteiligung an Spionageoperationen zur Entwendung von COVID-19-Impfstoffdaten im Jahr 2020 hin. Zu den jüngsten Vorfällen, die der Gruppe zugeschrieben werden, gehören Einbrüche im Office of Foreign Assets Control des US-Finanzministeriums und Angriffe auf Cloud-basierte Lieferketten. Microsoft hat gewarnt, dass Silk Typhoon zunehmend Fernverwaltungstools ausnutzt, um in nachgelagerte Netzwerke einzudringen. Xu befindet sich weiterhin in Busto Arsizio in Haft, während die US-Behörden seine Auslieferung beantragen. Die Verhaftung unterstreicht das globale Ausmaß und die Beharrlichkeit von Cyberbedrohungen durch Nationalstaaten, die auf kritische Sektoren und sensible Daten abzielen.

DragonForce-Ransomware trifft M&S durch ausgeklügeltes Social Engineering

Marks & Spencer confirmed that the recent ransomware attack on its systems was the result of a targeted social engineering campaign. The breach began with a convincing impersonation of an employee, which tricked a third-party help desk—allegedly tied to Tata Consultancy Services—into resetting a password. This opened the door for the DragonForce ransomware group to infiltrate M&S’s infrastructure. Believed to be linked to Scattered Spider, the attackers deployed a double-extortion scheme: encrypting data while simultaneously exfiltrating approximately 150GB of sensitive files. DragonForce, distinct from the hacktivist group DragonForce Malaysia, is thought to be operating from Russia or Asia. Despite the lack of public leaks on DragonForce’s extortion site, the absence of any published data has sparked speculation that M&S may have quietly paid a ransom. M&S refrained from confirming this, citing security concerns, but confirmed full cooperation with the National Crime Agency and other authorities during the investigation.

Ingram Micro beginnt Wiederherstellung nach SafePay-Ransomware-Unterbrechung

Der globale IT-Distributor Ingram Micro ist dabei, wichtige Geschäftsabläufe nach einem größeren Ransomware-Angriff der SafePay-Gruppe wiederherzustellen. Der Cyberangriff, der kurz vor dem 4. Juli stattfand, verursachte einen globalen Ausfall, der Websites lahmlegte und Auftragsbearbeitungssysteme störte. Als Reaktion darauf implementierte Ingram Micro ein unternehmensweites Zurücksetzen von Passwörtern und Multi-Faktor-Authentifizierung und begann mit der Wiederherstellung des VPN-Zugangs und kritischer interner Plattformen. Anfang dieser Woche nahm das Unternehmen die Auftragsannahme per Telefon und E-Mail in wichtigen Regionen wie den USA, Großbritannien, Deutschland und einigen anderen wieder auf. Obwohl SafePay sich noch nicht öffentlich zu dem Angriff bekannt hat, ist die Gruppe für Datendiebstahl und Double-Extortion-Taktiken bekannt, was Bedenken hinsichtlich potenzieller Lecks aufwirft, wenn kein Lösegeld gezahlt wird. Bisher hat Ingram Micro nicht bestätigt, ob sensible Daten gestohlen wurden, aber die Wiederherstellungsbemühungen werden fortgesetzt, da die Mitarbeiter langsam zu normalen Abläufen zurückkehren.

Qantas-Datenleck betrifft 5,7 Millionen inmitten der Scattered-Spider-Kampagne

Qantas hat ein massives Datenleck bestätigt, von dem 5,7 Millionen Kunden betroffen sind, nachdem ein Cyberangriff mit der Bedrohungsgruppe Scattered Spider in Verbindung gebracht wurde. Der Einbruch resultierte aus der Kompromittierung einer Kontaktcenter-Plattform eines Drittanbieters, wobei Angreifer persönliche Informationen wie Namen und E-Mail-Adressen bis hin zu Adressen, Geburtsdaten und Telefonnummern exfiltrierten. Während Qantas betont, dass keine Finanzdaten, Passwörter oder Passinformationen abgerufen wurden, bleibt das Volumen der offengelegten Kundendaten erheblich. Die Fluggesellschaft kontaktiert nun die betroffenen Personen direkt und hat als Reaktion darauf die Cybersicherheitsmaßnahmen verstärkt. Scattered Spider – bekannt für seine aggressiven Social-Engineering-Taktiken und Ransomware-Bereitstellungen – zielt zunehmend auf die Luftfahrt- und Einzelhandelsbranche ab. Im Fall von Qantas haben die Angreifer Berichten zufolge mit Erpressungsversuchen begonnen. Dieser Einbruch ergänzt eine wachsende Liste hochkarätiger Vorfälle, die der Gruppe zugeschrieben werden, darunter jüngste Angriffe auf WestJet, Hawaiian Airlines und Unternehmen wie M&S, wo auch DragonForce-Ransomware eingesetzt wurde.

Russischer Basketballspieler wegen Verbindungen zu Ransomware-Gangs verhaftet

Russian pro basketball player Daniil Kasatkin was arrested in France under a U.S. warrant for allegedly serving as a negotiator for a major ransomware gang. Kasatkin, who formerly played for Penn State and later in Moscow’s MBA league, was detained upon arrival at Charles de Gaulle airport. U.S. authorities accuse him of conspiring in cyberattacks that targeted over 900 organizations, including federal agencies, between 2020 and 2022. Although the gang was not officially named, the scope of the attacks aligns with the Conti ransomware group, a successor to Ryuk known for high-profile breaches and extortion. Conti disbanded in 2022, but its members remain under investigation globally. This arrest adds to recent enforcement actions against ransomware gangs, including operators of BreachForums and affiliates linked to IntelBroker and ShinyHunters. The incident highlights how ransomware networks continue to rely on a broad support infrastructure—from developers to negotiators—to execute their double-extortion schemes.

Gravity Forms Plugin gehackt, wodurch Remote Code Execution über Backdoor ermöglicht wird

The developer of Gravity Forms, a widely used WordPress plugin, has confirmed a supply-chain attack that injected a backdoor into manually downloaded plugin versions. The breach allows unauthenticated remote code execution on affected servers, granting attackers full control. Security firm Patchstack discovered that compromised plugin files sent site metadata to a malicious domain and received base64-encoded PHP malware in return. This payload, disguised as core WordPress functionality, enabled execution of arbitrary code without authentication through functions like handle_posts() and init_content_management(). The malware also created unauthorized admin accounts and blocked plugin updates. Only manual downloads and composer installs of versions 2.9.11.1 and 2.9.12, retrieved between July 10 and 11, were affected. The Gravity API used for automatic updates remained untouched. WordPress admins are urged to reinstall clean versions immediately and scan their sites for signs of remote code execution and unauthorized access.

Fazit

Der Einbruch des Gravity Forms Plugins verdeutlicht die wachsenden Risiken durch Supply-Chain-Angriffe und die verheerenden Auswirkungen von Remote Code Execution Schwachstellen. Administratoren müssen wachsam bleiben, insbesondere bei der manuellen Installation von Plugins, da selbst vertrauenswürdige Quellen kompromittiert werden können. Die Implementierung strenger Sicherheitsprotokolle und regelmäßiger Code-Reviews ist unerlässlich, um das Infektionsrisiko zu minimieren.

Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Wiederherstellungsdienste und Ransomware-Lösegeldverhandlungsdienste an. Unser Team bietet außerdem fortlaufende Schulungen über unsere Cyber Defense Academy sowie umfassende Cybersicherheits-Risikobewertungen und dedizierten Support über unseren Incident Response Retainer.