In der 19. Kalenderwoche wurden weltweit 206 neue Opfer von Ransomware- und Data-Exfiltration-Angriffen auf bekannten Leak-Seiten im Darknet erfasst. Elf betroffene Organisationen entfallen auf den DACH-Raum, darunter neun aus Deutschland und zwei aus der Schweiz.
China-nahe Hacker der Gruppe „SHADOW-EARTH-053“ führten Spionageangriffe auf Regierungs- und Verteidigungssektoren in Asien und einem europäischen NATO-Staat durch. Über bekannte Schwachstellen in Microsoft-Exchange- und IIS-Servern verschafften sie sich Zugriff, installierten Webshells und Malware wie ShadowPad mittels DLL-Sideloading. Parallel griff die Kampagne „VENOMOUS#HELPER“ mehr als 80 Organisationen über Phishing-Mails an. Dabei wurden legitime Fernwartungstools wie SimpleHelp und ScreenConnect missbraucht, um dauerhaften Zugriff auf Systeme zu sichern.
Der iranische Bedrohungsakteur MuddyWater nutzte Microsoft Teams für Social-Engineering-Angriffe, sammelte Zugangsdaten und manipulierte Multi-Faktor-Authentifizierung. Statt klassischer Ransomware lag der Fokus auf verdeckter Datenexfiltration. In Frankreich wurde ein 15-Jähriger wegen des Verkaufs gestohlener Daten aus dem ANTS-Leak festgenommen. Die Gruppe ShinyHunters behauptet zudem, 280 Millionen Datensätze des Bildungsunternehmens Instructure gestohlen zu haben.
DarkOwl warnte vor neuen Entwicklungen wie dem US-Meldegesetz CIRCIA für kritische Infrastrukturen sowie dem Trend „Violence-as-a-Service“, bei dem Gewaltakte online vermittelt werden. Zudem wurden mehrere große Datenlecks gemeldet, darunter bei Pitney Bowes, ADT, Service Civique, Movilnet und Kroll.
12.05.2026
