In der 47. Kalenderwoche wurden weltweit 215 neue Ransomware- und Data-Exfiltration-Opfer registriert. In der DACH-Region betraf dies sieben Unternehmen – vier in Deutschland, zwei in der Schweiz und eines in Österreich.
Socketanalytiker beobachteten in diesem Zeitraum einen Bedrohungsakteur, der den Cloaking-Dienst Adspect einsetzt, um echte Opfer von Sicherheitsexperten zu unterscheiden. Die dafür genutzten NPM-Pakete wurden vom Entwickler „dino_reborn“ veröffentlicht und wirken zunächst unauffällig, enthalten jedoch Code für täuschende Webseiten. Die Pakete nutzen eine JavaScript-IIFE, die bereits beim Laden einer Datei schädliche Funktionen ausführt, während das Paket „signals-embed“ lediglich eine harmlose leere Seite erzeugt. Nach dem Laden senden die Skripte gesammelte Daten an eine Proxy-Seite, prüfen, ob es sich um ein echtes Opfer handelt, und zeigen anschließend ein gefälschtes CAPTCHA an, das zu einer betrügerischen Krypto-Seite weiterleitet, die auf Diebstahl digitaler Vermögenswerte ausgelegt ist.
Parallel dazu kündigte die Gruppe Scattered Lapsus$ Hunters die Entwicklung einer neuen Ransomware-as-a-Service-Plattform mit dem Namen ShinySp1d3r an. Laut ihren Telegram-Mitteilungen wird das Projekt von ShinyHunters geleitet, aber unter der Marke „Scattered Lapsus$ Hunters“ betrieben. Erste Muster der Ransomware wurden bereits auf VirusTotal hochgeladen und zeigen eine Kombination aus bekannten Funktionen und neu entwickelten Modulen. Verschlüsselte Dateien enthalten Hinweise für Opfer, eine Anleitung zur Kontaktaufnahme und eine TOX-Adresse für die Lösegeldverhandlungen.
Darüber hinaus kam es zu mehreren Datenlecks weltweit. Am 15. November wurde auf DarkForums ein umfangreicher Leak der HD Hyundai gemeldet, einem bedeutenden Unternehmen im Bereich Schwerindustrie und Energietechnik. Laut Angaben des Täters sollen Quellcodes, SQL-Dateien, Zugangsschlüssel, Konfigurationsdateien sowie hartcodierte Credentials und API-Keys offengelegt worden sein.
Am 19. November meldete ein Bedrohungsakteur auf DarkForums die Veröffentlichung interner Daten von Ryanair. Der Leak soll E-Mail-Adressen, interne Kommunikation, Ticketbuchungen, Abflugdaten, Ziele, Flugnummern und Informationen zu Ticketinhabern umfassen.
Schon am 14. November wurde ein weiterer größerer Vorfall publik: Ein Akteur behauptete, Daten der American Public University System (APUS) veröffentlicht zu haben. Dabei sollen mehr als 59.000 Datensätze offengelegt worden sein, darunter vollständige Namen, E-Mail-Adressen, Interessen, Aufenthaltsorte und Angaben zum Militärstatus. Am 20. November wurde schließlich ein Leak beim indonesischen Ministerium für Genossenschaften (Kementerian Koperasi Republik Indonesia) bekannt. Insgesamt sollen 1,58 GB Daten betroffen sein, darunter Finanzunterlagen, Besprechungsprotokolle und weiteres internes Material.
26.11.2025
