In der 15. Kalenderwoche wurden weltweit 175 neue Opfer von Ransomware- und Data-Exfiltration-Angriffen auf bekannten Leak-Seiten im Darknet erfasst. Zwölf betroffene Organisationen entfallen auf den DACH-Raum, darunter acht aus Deutschland, zwei aus der Schweiz und zwei aus Österreich.
Check Point beobachtet eine Passwort-Spraying-Kampagne gegen Microsoft-365-Umgebungen in Israel und den VAE, die im März 2026 in drei Wellen ablief. Die Angriffe erfolgen in drei Phasen: Zunächst identifizieren Angreifer über Tor-Exit-Knoten schwache Konten, verschaffen sich anschließend Zugriff und etablieren Persistenz. Abschließend werden sensible Daten, oft komplette Postfächer, exfiltriert.
Parallel setzen die Gruppen hinter Qilin- und Warlock-Ransomware die BYOVD-Technik ein, um Sicherheitslösungen zu umgehen. Dabei wird u. a. eine schädliche DLL („msimg32.dll“) genutzt, die über DLL-Side-Loading eingeschleust wird und mehr als 300 EDR-Treiber deaktivieren kann.
Der chinesische Akteur Storm-1175 führt schnelle Ransomware-Angriffe mit Medusa durch, indem er bekannte Schwachstellen in öffentlich erreichbaren Systemen ausnutzt. Nach initialem Zugriff via Web-Shell oder Remote-Tools folgen rasch Eskalation, Datenabfluss und Verschlüsselung. Zuletzt wurde eine Zero-Day-Lücke in SmarterMail missbraucht.
CISA warnt zudem vor APT-Angriffen auf US-Infrastrukturen, bei denen OT-Systeme und PLCs manipuliert werden, etwa durch veränderte SCADA-Daten. Angreifer nutzen Dropbear-SSH für Fernzugriff.
Mehrere Datenleaks wurden gemeldet, u. a. bei KBank Vietnam (10 Mio. Datensätze), Starbucks (10 GB IP), Académie de Nice, Eastern Illinois University und Bitwyre.
14.04.2026
