In der Woche vom 20.10.2025 bis zum 26.10.2025 wurden weltweit 138 neue Ransomware-Double-Extortion-Opfer registriert, darunter 5 in der DACH-Region. Weltweit sind in den vergangenen Wochen mehrere bedeutende Malware-Kampagnen und Datenvorfälle bekannt geworden. Eine der auffälligsten Aktivitäten betrifft die Kampagne PassiveNeuron, die seit November 2024 beobachtet wird und derzeit erneut für Angriffe auf Regierungs-, Finanz- und Industrieorganisationen in Asien, Afrika und Lateinamerika verantwortlich ist. In mindestens einem dokumentierten Fall gelangten die Angreifer über eine kompromittierte Microsoft-SQL-Server-Instanz mit Remote-Command-Zugriff in das Netzwerk. Die Initialkompromittierung dürfte durch Brute-Force auf Administrationskonten oder über eine SQL-Injection-Schwachstelle erfolgt sein.
Auch staatlich gesteuerte russische Akteure zeigen sich weiterhin aktiv. Die Gruppe Star Blizzard hat ihre bekannten Social-Engineering-Kampagnen mit neuem Schadcode verknüpft, der gezielt CAPTCHA-Mechanismen ausnutzt. Die Malware, intern als NOROBOT bezeichnet, wird über sogenannte „ClickFix“-Angriffe verteilt, bei denen gefälschte CAPTCHA-Seiten Opfer dazu verleiten, eine DLL über rundll32 auszuführen. Das Schadmodul übermittelt anschließend Ergebnisse an mehrere Command-and-Control-Server und wurde zuletzt auch genutzt, um eine zweite Komponente namens MAYBEROBOT nachzuladen. Ziel der Kampagne ist primär Cyberspionage gegen westliche Organisationen.
Im Bereich der Datenlecks verzeichnete der Peer-to-Peer-Kreditmarktplatz Prosper einen massiven Sicherheitsvorfall. Dabei wurden Daten von rund 17,6 Millionen Kundenkonten kompromittiert. Laut Unternehmensangaben sind auch vertrauliche und personenbezogene Informationen wie Sozialversicherungsnummern betroffen. Als Reaktion bietet Prosper derzeit kostenloses Kredit-Monitoring an, bleibt jedoch Details zur Angriffsursache bislang schuldig.
In den einschlägigen Untergrundforen wie DarkForums tauchten zudem mehrere neue Datenlecks auf. Betroffen sind unter anderem die Unternehmen AdScale (Ad-Tech-Plattform), TripWorks (Buchungsdienst mit 100 000 Datensätzen), Headz.cc (kanadische Wellness-Plattform mit 13 200 Datensätzen), Candystore.dk (dänischer Onlinehändler) sowie Figment POS (Cloud-basiertes Kassensystem). In den meisten Fällen enthalten die veröffentlichten Datensätze persönliche Informationen wie Namen, E-Mail-Adressen, Telefonnummern und Zahlungsdetails, teilweise ergänzt durch interne Quell- oder Buchungsdaten.
Insgesamt verdeutlichen die aktuellen Entwicklungen, dass staatliche Akteure ebenso wie finanzmotivierte Gruppen weiterhin Schwachstellen in Unternehmenssystemen ausnutzen und Social-Engineering-Taktiken verfeinern. Insbesondere Multi-Vektor-Kampagnen wie PassiveNeuron oder NOROBOT zeigen, dass klassische Abwehrmechanismen allein nicht mehr ausreichen, um aktuelle Angriffsmethoden frühzeitig zu erkennen und einzudämmen.
28.10.2025
