News Week: 8. Dezember bis 14. Dezember 2025

Polnische Behörden nehmen Verdächtige wegen mutmaßlicher Cyber-Intrusion-Versuche fest

Die polnische Strafverfolgungsbehörde hat drei ukrainische Staatsangehörige festgenommen, die im Verdacht stehen, Cyber-bezogene Straftaten im Zusammenhang mit sensiblen Systemen vorbereitet zu haben. Die Männer im Alter zwischen 39 und 43 Jahren wurden bei einer Routinekontrolle angehalten und erregten Berichten zufolge aufgrund ihres Verhaltens und unklarer Reiseerklärungen Verdacht. Eine anschließende Fahrzeugdurchsuchung führte zur Beschlagnahmung mehrerer elektronischer Geräte, von denen die Ermittler glauben, dass sie für den unbefugten Zugriff auf IT- und Telekommunikationsnetze verwendet werden könnten. Zu den beschlagnahmten Gegenständen gehörten Laptops, Router, zahlreiche SIM-Karten, tragbare Speichergeräte, Antennen und Spezialwerkzeuge wie Flipper Zero-Hardware und ein K19 RF/GS-Erkennungsgerät. Die Behörden behaupten, dass die Ausrüstung die Datenabfangung, Signalmanipulation oder Überwachungserkennung erleichtern könnte. Obwohl die beschlagnahmten Daten verschlüsselt waren, gelang es Spezialisten der polnischen Cybercrime-Einheit, digitale Beweismittel zu sichern. Die Verdächtigen gaben an, in der IT-Branche tätig zu sein, vermieden es jedoch angeblich, detaillierte Fragen zu beantworten. Die Staatsanwaltschaft hat Anklage wegen Computerbetrugs und Besitzes von Werkzeugen erhoben, die für kriminelle Zwecke bestimmt sind, wobei sich die Verdächtigen bis zur weiteren Untersuchung in Haft befinden.

FinCEN-Bericht hebt sich verlagernde Ransomware-Trends und Auswirkungen auf die Strafverfolgung hervor

Eine aktuelle Analyse von FinCEN zeigt, dass Ransomware-Gruppen zwischen 2022 und 2024 mehr als 2,1 Milliarden US-Dollar erpresst haben, wobei die Aktivität im Jahr 2023 ihren Höhepunkt erreichte, bevor sie im folgenden Jahr zurückging. Der Bericht stützt sich auf Tausende von Bank Secrecy Act-Anmeldungen und verknüpft den Rückgang der Zahlungen im Jahr 2024 mit koordinierten Strafverfolgungsmaßnahmen gegen große Operationen wie ALPHV/BlackCat und LockBit. Während die Gesamtzahl der Vorfälle nur geringfügig zurückging, sanken die Lösegeldzahlungen stark, was auf eine verstärkte Störung der kriminellen Infrastruktur hindeutet. FinCEN identifizierte insgesamt 267 Ransomware-Familien, obwohl eine kleine Gruppe sowohl das Volumen als auch den Umsatz dominierte. Akira Ransomware erschien am häufigsten in Berichten, während ALPHV/BlackCat die höchsten Gesamtauszahlungen generierte, gefolgt von LockBit. Andere bemerkenswerte Gruppen waren Black Basta, Royal, BianLian, Hive, Medusa und Phobos. Zusammengenommen machten die zehn aktivsten Varianten den Großteil der gemeldeten Verluste aus, was unterstreicht, wie konzentriert das Ransomware-Ökosystem trotz Fragmentierung bleibt.

Neuer Packing-Service ermöglicht die heimlichere Bereitstellung von sicherheitsdeaktivierender Malware

Sicherheitsforscher haben eine wachsende Anzahl von Ransomware-Operationen beobachtet, die sich auf eine Packer-as-a-Service-Plattform namens Shanya verlassen, um Malware zu verbergen, die entwickelt wurde, um Endpunktschutzmaßnahmen zu neutralisieren. Der Dienst ist seit Ende 2024 aktiv und verpackt bösartige Nutzlasten in stark verschleierten ausführbaren Dateien, die Antivirus- und EDR-Inspektionen umgehen, mit bestätigter Verwendung in mehreren Regionen weltweit. Die Sophos-Telemetrie verknüpft Shanya mit mehreren prominenten Ransomware-Gruppen, darunter Medusa, Qilin, Crytox und Akira, wobei letztere am häufigsten vorkommt. Der Packer verschlüsselt und komprimiert Nutzlasten, entschlüsselt sie nur im Speicher und bettet sie in modifizierte Systemdateien wie shell32.dll ein, um eine festplattenbasierte Erkennung zu vermeiden. Es enthält auch Anti-Analyse-Techniken, die absichtlich Debugger zum Absturz bringen, die von Sicherheitstools verwendet werden. In vielen Fällen werden Shanya-gepackte Loader über DLL-Side-Loading bereitgestellt und Kernel-Treiber bereitgestellt, um Sicherheitsdienste vor der Ransomware-Ausführung zu deaktivieren. Über Ransomware hinaus identifizierten Forscher auch ClickFix-Kampagnen, die Shanya verwenden, um CastleRAT zu verteilen, was seine breitere Anziehungskraft innerhalb des Cybercrime-Ökosystems unterstreicht.

Initial Access Broker nutzt vertrauenswürdige Sicherheitssoftware, um Erkennung zu umgehen

Forscher haben eine ausgeklügelte Kampagne identifiziert, bei der ein Initial Access Broker namens Storm-0249 Endpunkt-Erkennungs- und Reaktionssoftware missbraucht, um Systeme heimlich für die Ransomware-Bereitstellung vorzubereiten. Die Analyse zeigt, dass der Akteur von groß angelegtem Phishing zu verdeckteren Techniken übergeht, die sich in das normale Systemverhalten einfügen. Bei Angriffen, die von ReliaQuest beobachtet wurden, wurden Opfer über ClickFix Social Engineering manipuliert, um Befehle auszuführen, die bösartige Komponenten direkt in den Speicher abriefen. Die Operation stützte sich auf SentinelOne EDR-Binärdateien und verwendete DLL-Side-Loading, um von Angreifern kontrollierten Code aus einem vertrauenswürdigen, signierten Prozess heraus auszuführen. Dies ermöglichte die Ausführung von Malware, die Systemprofilierung und die verschlüsselte C2-Kommunikation, um als legitime Sicherheitsaktivität zu erscheinen. Standardmäßige Windows-Dienstprogramme wurden dann verwendet, um Kennungen wie MachineGuid zu sammeln, die Ransomware-Gruppen wie LockBit und ALPHV Berichten zufolge verwenden, um Verschlüsselungsschlüssel an bestimmte Ziele zu binden. Durch den Missbrauch vertrauenswürdiger EDR-Prozesse umgeht Storm-0249 weitgehend die konventionelle Überwachung, was die Notwendigkeit einer verhaltensbasierten Erkennung und strengerer Kontrollen über Tools wie PowerShell und curl unterstreicht.

US-Anklage gegen Einzelperson wegen angeblicher Unterstützung pro-russischer Cyber-Operationen

US-Behörden haben Anklage gegen einen ukrainischen Staatsangehörigen erhoben, dem vorgeworfen wird, russisch ausgerichtete Hacktivistengruppen unterstützt zu haben, die an Cyberangriffen gegen kritische Infrastrukturen weltweit beteiligt waren. Die Staatsanwaltschaft behauptet, dass Victoria Eduardovna Dubranova Operationen im Zusammenhang mit NoName057(16) und CyberArmyofRussia_Reborn unterstützte, Gruppen, die mit staatlich unterstützten Aktivitäten in Verbindung stehen. Laut den Anklagen koordinierten diese Kollektive groß angelegte DDoS-Kampagnen mithilfe von benutzerdefinierten Tools, um Regierungsbehörden, Finanzinstitute und wichtige Dienste, einschließlich Wassersysteme und wahlbezogene Infrastruktur, zu stören. Ermittler sagen, dass die Angriffe mit Anleitung und Finanzierung im Zusammenhang mit dem russischen Militärgeheimdienst organisiert wurden und sich auf von Freiwilligen betriebene Plattformen stützten, um ihre Wirkung zu verstärken. Dubranova hat auf nicht schuldig plädiert und soll im nächsten Jahr in getrennten Fällen vor Gericht stehen. US-Beamte betonten, dass die Anklagen wachsende Bedenken hinsichtlich der von Hacktivisten geführten DDoS-Aktivitäten unterstreichen, die sich von Online-Störungen zu Operationen entwickeln, die in der Lage sind, reale Konsequenzen zu verursachen, insbesondere wenn sie auf kritische Infrastruktursektoren abzielen.

Notfall-Chrome-Update behebt eine weitere aktiv ausgenutzte Schwachstelle

Google hat ein dringendes Sicherheitsupdate für Chrome veröffentlicht, um die achte Zero-Day-Schwachstelle zu beheben, die in diesem Jahr bei realen Angriffen ausgenutzt wurde. Der Fehler mit hohem Schweregrad wurde im Stable Desktop-Kanal für Windows, macOS und Linux behoben, wobei gepatchte Versionen bereits für Benutzer verfügbar sind, die nach Updates suchen. Während Google die technische Offenlegung während des koordinierten Rollouts eingeschränkt hat, wurde das Problem auf die LibANGLE-Grafikkomponente zurückgeführt, wo eine unsachgemäße Pufferverarbeitung Speicherkorruption und potenzielle Codeausführung ermöglichen könnte. Die Schwachstelle wurde inzwischen CVE-2025-14174 zugewiesen und war schwerwiegend genug, um parallele Patches für mehrere Apple-Betriebssysteme zu veranlassen. Google wies darauf hin, dass Details bis zum Schutz der Mehrheit der Benutzer eingeschränkt bleiben. Dieser neueste Zero-Day setzt einen beunruhigenden Trend im Jahr 2025 fort, der auf frühere Korrekturen in der V8-Engine von Chrome, Sandbox-Mechanismen und der Logik der Kontosicherheit folgt, was den anhaltenden Druck auf die Browsersicherheit durch aktive Bedrohungskampagnen unterstreicht.

Aktive Ausnutzung zielt auf kryptografische Schwäche in Enterprise-File-Sharing-Software ab

Bedrohungsakteure nutzen aktiv eine neu entdeckte kryptografische Schwäche in Gladinet CentreStack und Triofox aus, um unbefugten Zugriff zu erhalten und letztendlich Remote Code Execution auf betroffenen Servern zu erreichen. Laut Huntress-Forschern rührt das Problem von einer fehlerhaften benutzerdefinierten AES-Implementierung her, bei der Verschlüsselungsschlüssel und Initialisierungsvektoren fest codiert und über alle Installationen hinweg identisch waren. Durch das Extrahieren dieser statischen Werte können Angreifer Zugriffstickets entschlüsseln oder fälschen, die sensible Daten wie Benutzernamen, Dateipfade und Anmeldeinformationen enthalten, wodurch sie Benutzer imitieren können. Bei beobachteten Angriffen wurden gefälschte Tickets mit nicht ablaufenden Zeitstempeln verwendet, um Konfigurationsdateien abzurufen, einschließlich web.config, wodurch eine weitere Kompromittierung über einen ViewState-Deserialisierungspfad ermöglicht wurde. Die Aktivität wurde mit mindestens neun Opferorganisationen in mehreren Sektoren in Verbindung gebracht und erfolgt neben dem Missbrauch eines älteren lokalen Datei-Inklusionsfehlers, CVE-2025-30406. Gladinet hat Kunden dringend aufgefordert, sofort zu aktualisieren, Maschinenschlüssel zu rotieren und Protokolle auf bekannte Indikatoren im Zusammenhang mit dieser Ausnutzungskampagne zu überprüfen.

Fehlerhaftes Debüt deckt Schwächen in neuer pro-russischer Ransomware-Operation auf

Die pro-russische Hacktivistengruppe CyberVolk ist mit einem Ransomware-as-a-Service (RaaS)-Angebot namens VolkLocker in den Cybercrime-Bereich eingetreten, aber frühe Analysen zeigen, dass die Operation durch kritische kryptografische Fehler untergraben wird. Forscher fanden heraus, dass die Ransomware auf einen einzigen fest codierten Master-Key angewiesen ist, der direkt in die Binärdatei eingebettet ist, die auch im Klartext in eine temporäre Datei auf infizierten Systemen geschrieben wird. Dieser Implementierungsfehler ermöglicht es einigen Opfern, verschlüsselte Daten wiederherzustellen, ohne ein Lösegeld zu zahlen, was die Effektivität von VolkLocker erheblich schwächt. Als Teil von CyberVolks erneuten Vorstoß in die monetarisierte Cyberkriminalität vermarktet, zielt das RaaS sowohl auf Windows- als auch auf Linux/VMware ESXi-Umgebungen ab und umfasst destruktive Funktionen wie das zeitgesteuerte Löschen von Daten. Der exponierte Key-Management-Fehler deutet jedoch auf eine geringe operative Reife hin. Während diese Schwäche aktuellen Opfern helfen kann, erwarten Sicherheitsexperten, dass CyberVolk das Problem schnell beheben wird, da solche Fehler oft behoben werden, sobald sie innerhalb aktiver Ransomware-as-a-Service-Ökosysteme öffentlich bekannt werden.

Fazit

Die oben beschriebenen Vorfälle verdeutlichen, wie vielfältig und hartnäckig die heutigen Cyberbedrohungen geworden sind, von Ransomware-Operationen und Zero-Day-Exploitation bis hin zum Missbrauch vertrauenswürdiger Sicherheitstools und kryptografischer Fehler. Da Angreifer ihre Techniken ständig verfeinern, sind Unternehmen zunehmenden Risiken für kritische Systeme, sensible Daten und die operative Kontinuität ausgesetzt. Proaktive Verteidigung, schnelle Erkennung und expertengeführte Reaktion sind heute wesentliche Bestandteile einer effektiven Cybersicherheitsstrategie.

Als Ransomware- und Cybersicherheitsexperten unterstützen wir Unternehmen vor, während und nach einem Vorfall mit spezialisierten Dienstleistungen wie Ransomware Recovery Services, Ransomware Negotiation Services und einem Incident Response Retainer. Wenn Sie mit einem aktiven Angriff konfrontiert sind oder Ihre Bereitschaft stärken möchten, kann unser Team schnelle, diskrete und kompetente Unterstützung bieten, die auf Ihre Bedürfnisse zugeschnitten ist.