In der 39. Kalenderwoche wurden weltweit 105 neue Ransomware- und Data-Exfiltration-Opfer registriert, darunter 6 Fälle in der DACH-Region. Während die Zahlen im Vergleich zur Vorwoche leicht zurückgingen, waren mehrere besonders prominente Vorfälle zu verzeichnen.
Für Aufsehen sorgte ein Ransomware-Angriff auf den IT-Dienstleister Collins Aerospace, der als externer Provider für Check-in- und Boarding-Systeme fungiert. Durch die Attacke auf das MUSE-System kam es an mehreren europäischen Flughäfen zu erheblichen Störungen, mehr als 100 Flüge wurden verzögert oder gestrichen. Laut ENISA versuchten die Täter gezielt, Daten und Systeme zu verschlüsseln, um ein Lösegeld zu erpressen. Der Vorfall konnte bis Montag behoben werden, unterstreicht jedoch die Verwundbarkeit kritischer Infrastrukturen im Luftverkehr.
Auch im Malware-Bereich gab es neue Erkenntnisse: Die Schadsoftware Brickstorm war über einen Zeitraum von 393 Tagen aktiv und wurde mutmaßlich von chinesischen Akteuren eingesetzt. Ziel waren Netzwerke aus dem Technologie- und Rechtssektor in den USA. Brickstorm diente gleichzeitig als Webserver, Dropper, Backdoor und Manipulationswerkzeug für Dateien. Analysen von Google TAG ordnen die Aktivitäten der Gruppe UNC5221 zu, die bereits durch Angriffe auf Ivanti-Zero-Days bekannt wurde. Im Fokus standen erneut Entwickler, Administratoren sowie Personen mit Bezug zu Chinas wirtschaftlichen und sicherheitspolitischen Interessen.
Im Bereich organisierter Cybercrime kam es am 23.09. zu einem Schlag gegen eine europaweit agierende Betrugsorganisation. Eurojust bestätigte die Festnahme von fünf Verdächtigen in Spanien und Portugal, die über ein betrügerisches Krypto-Investmentprogramm mehr als 118 Millionen US-Dollar von über 100 Opfern erbeutet haben sollen. Die Ermittlungen liefen seit 2020 und wurden von Europol und Behörden aus sechs EU-Staaten unterstützt. Der mutmaßliche Haupttäter befindet sich ebenfalls in Haft.
Parallel dazu richtete sich die Aufmerksamkeit auf eine Iran-nexus Gruppierung: UNC1549, auch bekannt als Subtle Snail, konnte in den vergangenen Monaten 34 Systeme bei 11 europäischen Telekommunikationsunternehmen infiltrieren. Die Angreifer nutzten präparierte HR-Profile auf LinkedIn, um Mitarbeiter in Kontaktaufnahmen zu verwickeln, und setzten anschließend die Backdoor MINIBIKE ein, deren Command-and-Control-Verkehr über Azure-Proxy-Infrastrukturen verschleiert wurde. Laut Einschätzung von PRODAFT bestehen Verbindungen zur Islamischen Revolutionsgarde (IRGC).
Darüber hinaus wurden auf DarkForums in derselben Woche mehrere Datenleaks bekannt. Am 24.09. meldete ein Threat Actor den Abfluss von Daten bei der Kryptobörse BitMart, darunter E-Mail-Adressen und Telefonnummern. Einen Tag zuvor, am 23.09., wurde ein Leak von 15.218 Datensätzen des rechtsextremen Iron March Forums veröffentlicht, mit E-Mails, IP-Adressen und Foreninhalten. Bereits am 14.09. tauchten Datensätze von Hamdard Pakistan auf, einem Anbieter für pflanzliche Medizin, mit etwa 6.000 Datensätzen bestehend aus Namen, Telefonnummern und Adressen. Am 24.09. wurde zudem ein Leak beim IT-Dienstleister UBX genannt, wobei bislang nur minimale Informationen vorliegen. Schließlich kam es am 18.09. zu einem größeren Leak bei Studentaid.gov: Dort sollen rund 115.885 Nutzerdatensätze betroffen sein, darunter Namen, Adressen, E-Mails und Sozialversicherungsnummern.
30.09.2025
