Comretix Blog

Ein Revierkampf zweier krimineller Ransomware-Gruppen könnte zu mehr Cyberangriffen und größeren Schäden für betroffene Unternehmen führen. Das berichtete am Montag die britische Tageszeitung Financial Times mit Verweis auf Cyber-Sicherheitsexperten, die die Auseinandersetzungen in dem wachsenden kriminellen Ransomware-Sektor verfolgen.

Demnach sind DragonForce, eine Gruppe überwiegend russischsprachiger Cyberkrimineller, und einer ihrer größten Konkurrenten, RansomHub, aneinandergeraten. Die Sicherheitsexperten warnen, dass der Konflikt "die Risiken für Unternehmen erhöhen könnte, einschließlich der Gefahr, zweimal erpresst zu werden", schreibt die Financial Times.

Die DragonForce-Gruppe trat erstmals im August 2023 in Erscheinung. Nach Angaben des Cybersicherheitsunternehmens Group-IB verzeichnete sie in den darauffolgenden zwölf Monaten insgesamt 82 Opfer auf ihrer Dark-Web-Seite. RansomHub wurde ebenfalls 2023 bekannt. Diese Gruppe wird für einige spektakuläre Cyberattacken verantwortlich gemacht, wie jene auf den US-amerikanischen Gas- und Öl-Dienstleister Halliburton, einen der weltweit größten Öl-Dienstleister, auf das renommierte britische Auktionshaus Christie's oder die Non-Profit-Organisation Planned Parenthood, die unter anderem medizinische Dienste zu Schwangerschaftsabbrüchen anbietet.

Nun scheinen DragonForce und RansomHub untereinander in Konflikt geraten zu sein. "Die meisten Cyber-Kriminalitätsgruppen haben ein tief verwurzeltes Bedürfnis nach Ruhm und Überlegenheit, das sie dazu bringen könnte, zu versuchen, einander zu übertreffen, indem sie versuchen, dasselbe Ziel anzugreifen und zu erpressen", zitiert Financial Times Toby Lewis, globaler Leiter der Bedrohungsanalyse bei der britischen Cybersicherheitsfirma Darktrace. Gruppen wie die beiden genannten verkaufen laut dem Blatt die Werkzeuge und die Infrastruktur, die erforderlich sind, um auf die internen Systeme von Unternehmen zuzugreifen und diese gegen Geld zu erpressen. Sie operieren vornehmlich im Dark Web. Ihre Kunden sind sogenannte "Affiliates" wie Scattered Spider, also Gruppen, die Cyberangriffe begehen wollen.

Die Beziehung zwischen DragonForce und RansomHub habe sich verschlechtert, so Financial Times weiter, nachdem sich DragonForce im März in ein "Kartell" umbenannt und sein Angebot an "Dienstleistungen" und seine Reichweite erweitert hat, um mehr Affiliate-Partner zu gewinnen.

Der global agierende IT-Distributor Ingram Micro ist Opfer eines Cyberangriffs geworden. Die Webseite ist für deutsche Kunden im Wartungsmodus. Das Unternehmen hat einen andauernden Systemausfall gemeldet.

Als börsennotiertes Unternehmen hat Ingram Micro am Samstag eine Ad-hoc-Meldung dazu veröffentlicht. "Ingram Micro hat jüngst Ransomware auf bestimmten internen Systemen entdeckt. Umgehend nach Erkennung des Problems hat das Unternehmen Schritte unternommen, um die relevante Umgebung abzusichern. Dazu gehört das proaktive Offline-Nehmen bestimmter Systeme und die Implementierung weiterer Gegenmaßnahmen", schreibt das Unternehmen dort.

"Das Unternehmen hat zudem eine Untersuchung angestoßen, mit der Unterstützung führender Cybersecurity-Experten, und die Strafverfolger informiert." Ingram Micro arbeite fleißig daran, die betroffenen Systeme wiederherzustellen, sodass es Aufträge verarbeiten und versenden kann. "Das Unternehmen entschuldigt sich für die Störungen, die der Vorfall bei den Kunden, Verkaufspartnern und anderen auslöst", schließt die kurze Börsennotiz ab. Auf den Börsenkurs hat der Vorfall bislang keinen signifikanten Einfluss.

Weitere Details sind derzeit noch unklar. Ingram Micro schreibt von Ransomware, aber bislang hat die dahinterstehende Cybergruppe sich noch nicht öffentlich geäußert. Es ist sehr wahrscheinlich, dass eine Lösegeldforderung vorliegt, aber auch da erwähnt das Unternehmen nichts zur Höhe. Einen Zeitplan, wann die Systeme wieder normal einsatzfähig sind, hat Ingram Micro ebenfalls nicht vorgelegt.

Zuletzt wurde vergangene Woche bekannt, dass Cyberkriminelle in Norwegen die Kontrolle über einen Staudamm am Risevatnet-Stausee erhalten hatten. Über Stunden konnten sie dessen Ventile steuern und hatten diese voll geöffnet.

Die Malware-Schutzsoftware von Comodo, genauer Comodo Internet Security Premium, enthält Schwachstellen, durch die Angreifer Schadcode einschleusen und ausführen können. Unklar ist der derzeitige Patch-Status – es scheint, der Hersteller hat zum Meldungszeitpunkt noch kein Update zum Schließen der Lücken parat.

Die Comodo-Software hat einige Fans damit gewonnen, dass die "Antivirus"-Version kostenlos erhältlich ist. Die etwas größere kommerzielle Variante Internet Security Premium 2025 hat ein IT-Sicherheitsforscher genauer unter die Lupe genommen – und dabei haarsträubende Fehler entdeckt.

Comodos Update-Server halten in der Datei "cis_update_x64.xml" Metadaten von Binärdateien für Software-Updates vor. Die Client-Software überprüft die Authentizität und Integrität dieser Datei nicht, sodass Angreifer in einer Man-in-the-Middle-Position – etwa durch eine DNS-Spoofing-Attacke – dadurch bösartige Skripte einschleusen können, die mit SYSTEM-Rechten laufen. (CVE-2025-7096 / EUVD-2025-20153, CVSS 9.2, Risiko "kritisch"). Diese Manifest-Datei kennt einen Tag "exec", der das Ausühren von Binärdateien mit Parametern erlaubt. Angreifer können beliebige Befehle ausführen lassen, um die Kontrolle zu übernehmen – mit SYSTEM-Rechten (CVE-2025-7097 / EUVD-2025-20157, CVSS 9.2, Risiko "kritisch").

Die Comodo-Software nutzt den Wert in der Sektion "name" sowie "folder" als Download-Dateiname ohne weitere Filterung. Dadurch können Angreifer eine Path-Traversal-Schwachstelle in der Manifest-Datei missbrauchen und damit eine bösartige Datei im Startup-Ordner anlegen lassen; damit können sie nach einem Neustart die Maschine übernehmen (CVE-2025-7098 / EUVD-2025-20155, CVSS 6.3, Risiko "mittel"). Die letzte Schwachstelle betrifft die Verbindung zum Update-Server "download.comodo.com". Der Comodo-Client prüft das SSL-Zertifikat des Servers nicht, wodurch Angreifer etwa mit einer DNS-Spoofing-Attacke den Traffic auf einen falschen Update-Server unter ihrer Kontrolle umleiten können (CVE-2025-7095 / EUVD-2025-20154, CVSS 6.3, Risiko "mittel").

Betroffen ist der vollständigen Analyse mit Proof-of-Concept-Exploits zufolge Comodo Internet Security Premium 12.3.4.8162. Diese war zum Zeitpunkt der Dokumentation Mitte Juni mit allen verfügbaren Updates anfällig. Da die kostenlose Antivirus-Software wahrscheinlich denselben Code für Updates nutzt, dürfte sie ebenfalls verwundbar sein. Der IT-Forscher hat Comodo kontaktiert, jedoch keinerlei Rückmeldung erhalten.

Solche Nachrichten sieht man eher selten auf Darknet-Webseiten von kriminellen Banden: "Nach sorgsamer Abwägung und im Lichte jüngster Entwicklungen haben wir entschieden, das Hunters International-Projekt einzustellen". Das schreibt die Ransomwaregruppe auf ihrem Darknet-Auftritt.

Der ist weitgehend leergeräumt. Informationen zu Unternehmen, bei denen die Kriminellen eingebrochen sind und von denen sie Daten entwendet haben, finden sich nicht mehr auf der Darknet-Webseite.

"Diese Entscheidung haben wir nicht leichtfertig getroffen, und wir erkennen den Einfluss an, den sie auf Organisationen hat, mit denen wir interagiert haben", schreiben die Cybergangster weiter. Wo sonst Strafverfolger nach dem Ausheben von Cybergangs deren Decryptoren zum Enschlüsseln von mit Ransomware verschlüsselten Daten veröffentlichen, wollen Hunters International den eigenen Angaben nach nun "als Geste des guten Willens und zum Helfen derjenigen, die von unseren früheren Aktivitäten betroffen sind, kostenlose Decryptor-Software für alle Unternehmen anbieten, die von unserer Ransomware betroffen sind".

Die Täter schreiben weiter: "Unser Ziel ist es, sicherzustellen, dass Sie ihre verschlüsselten Daten wiederherstellen können, ohne die Last der Zahlung eines Lösegelds". Der poliert klingende Text geht weiter mit: "Wir verstehen die Herausforderungen, die Ransomware-Angriffe darstellen, und hoffen, dass diese Initiative Ihnen hilft, schnell und effizient wieder Zugriff auf Ihre kritischen Informationen zu erlangen."

Um Zugriff auf die Decryption-Tools und Anleitung zum Wiederherstellungsprozess zu erhalten, sollen Betroffene die offizielle Webseite besuchen. "Wir danken Ihnen für Ihr Verständnis und Ihre Mitarbeit während dieser Übergangsphase. Unser Engagement für die Unterstützung der betroffenen Organisationen bleibt auch nach Abschluss unserer Tätigkeit unsere Priorität", schließen die Cyberkriminellen.

Dells Backuplösung Data Protection Advisor ist verwundbar. In einer aktuellen Version haben die Entwickler reihenweise Sicherheitslücken geschlossen. Auffällig ist, dass sie zum Teil zwölf Jahre alte Schwachstellen geschlossen haben. Warum das erst jetzt passiert, ist bislang unklar.

Viele Lücken betreffen Komponenten der Backuplösung wie Apache HttpClient, OpenSSL und SQLite. Die Anwendung ist aber auch direkt betroffen. Sind Attacken erfolgreich, können Angreifer in den meisten Fällen Denial-of-Service-Attacken (DoS) ausführen, was zu Abstürzen führt (etwa CVE-2016-0705 / EUVD-2016-0740, CVSS 9.8, Risiko "kritisch"; CVE-2021-46877 / EUVD-2023-0856, CVSS 7.5, Risiko "hoch").

In der Warnmeldung zu den Lücken gibt es derzeit keine Informationen, wie Attacken ablaufen könnten und ob es bereits Angriffe gibt. Die Entwickler versichern, die Sicherheitsprobleme in der Ausgabe 19.12 Service Pack 1 gelöst zu haben. Admins sollten sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind.

In der vergangenen Woche hatte Dell mit Sicherheitslücken in Secure Connect Gateway zu tun. Sie gefährdeten den Remote-IT-Support.

Das Let's-Encrypt-Projekt hat in der vergangenen Woche das erste IP-Zertifikat ausgestellt. Es will zunächst noch Erfahrungen damit sammeln, bevor die allgemeine Verfügbarkeit später im Jahr folgt.

Das hat Let's Encrypt in einem Artikel mitgeteilt. Nur wenige Dienste haben bisher IP-Zertifikate angeboten, bei Let's Encrypt wird es sie sogar kostenlos geben. Das Projekt sieht jedoch eine Beschränkung für die IP-Zertifikate vor.

Normalerweise rufen Interessierte den Domain-Namen einer Webseite für den Zugriff darauf auf – der lässt sich viel einfacher merken als eine IP-Adresse. Dennoch gibt es einige Einsatzszenarien, in denen der Zugriff auf IP-Adressen sinnvoll ist – und die technischen und Richtlinien-Standards für Zertifikate erlauben die Ausstellung für IP-Adressen. Let's Encrypt nennt ein paar Beispiele, wo sie einen sinnvollen Einsatz von IP-Zertifikaten sehen. Etwa für eine Standard-Seite von Hosting-Providern, für den Fall, dass jemand die IP-Adresse des Servers anstatt den individuellen Seitennamen aufruft; dies führt bislang zu einer Fehlermeldung im Browser.

Wenn es keinen Domain-Namen für eine Webseite gibt, sind IP-Zertifikate ebenfalls sinnvoll. Ein weiteres Szenario ist die Absicherung von DNS über HTTPS (DoH) oder anderen Infrastrukturdiensten. Auch zur Sicherung von Fernzugriffen etwa auf Geräte daheim wie NAS-Server oder IoT-Geräte lässt sich so auch ohne Domain-Namen absichern. Schließlich können sich so temporäre Verbindungen innerhalb von Cloud-Hosting-Infrastruktur absichern.

Als Einschränkung gibt Let's Encrypt vor, dass für IP-Zertifikate lediglich die neu eingeführten 6-Tage-Zertifikate dienen dürfen. Diese kurzlebigen Zertifikate sollen möglichen Missbrauch einschränken. Das bedeutet jedoch, dass die Let's-Encrypt-Client-Apps dafür vorbereitet sein müssen. Sie müssen etwa den Entwurf der ACME-Profil-Spezifikation unterstützen und so konfiguriert sein, das "shortlived"-Profil anzufordern. Zum Beweis der Kontrolle über eine IP-Adresse lässt sich natürlich nicht die DNS-Challenge-Methode nutzen, das gelingt lediglich mit den "http-01"- und "tls-alpn-01"-Methoden.

Das weit verbreitete Kompressionswerkzeug 7-Zip ist am Wochenende in Version 25.00 erschienen. Es beschleunigt einige Kompressionsalgorithmen – und schließt auch Sicherheitslücken.

In dem Entwicklungsverlauf auf der 7-Zip-Homepage fasst der Entwickler Igor Pavlov die Neuerungen knapp zusammen. 7-Zip kann unter Windows nun mehr als 64 CPU-Threads für die Kompression nach zip, 7z und xz nutzen. Auch der eingebaute Benchmark unterstützt nun mehr Threads. Sofern mehrere Prozessorgruppen in Windows auf Systemen mit mehr als 64 Prozessorkernen bereitstehen, verteilt 7-Zip die laufenden CPU-Threads auf die unterschiedlichen CPU-Gruppen.

Die Kompression nach bzip2 konnte Pavlov um 15 bis 40 Prozent beschleunigen. Die "deflate"-Kompression für zip respektive gz läuft immerhin noch 1 bis 3 Prozent flotter. Wie er Geschwindigkeitsgewinne erzielen konnte, erörtert der Programmierer jedoch nicht. Die Unterstützung für zip-, cpio- und fat-Archive hat er ebenfalls auf nicht genannte Art verbessert. Außerdem korrigiert die neue Fassung "einige Fehler und Schwachstellen", wobei er keine der letzteren konkret benennt. Dennoch sollten 7-Zip-Nutzer deshalb das Update auf die aktuelle Fassung zügig vornehmen.

Da 7-Zip keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer die Aktualisierung manuell herunterladen und installieren. Die Dateien dafür stehen auf der 7-Zip-Webseite direkt zum Download bereit.

Zuletzt wurden in 7-Zip öfter Schwachstellen bekannt, die das sogenannte "Mark of the Web" (MotW) betreffen – Angreifer haben solche MotW-Sicherheitslücken in 7-Zip auch erfolgreich angegriffen. Durch den Mechanismus führt Windows Programme nicht einfach aus, die aus dem Internet heruntergeladen wurden, sondern zeigt zumindest eine Warnung davor an und fordert eine Bestätigung der Nutzer ein.

Die EU-Staaten haben sich mit der Verordnung für eine europäische elektronische Identität (EUid) verpflichtet, ihren Bürgern bis Anfang 2027 digitale Brieftaschen für ihren Online-Ausweis zur Verfügung zu stellen. Damit sollen Nutzer künftig etwa Führerscheine oder Zeugnisse bei verschiedenen Online-Diensten digital einsetzen können. Bevor eine solche Wallet für die European Digital Identity (EUDI) verwendet werden kann, muss sie an den User gekoppelt und dafür mit dessen Identitätsmerkmalen versehen werden. Eine mögliche Technologie für dieses sogenannte Onboarding sind Verfahren für die videobasierte Fernidentifikation (VideoIdent). Experten warnen hier vor mangelhafter Security.

Um Vertrauen und Sicherheit zu gewährleisten, müssen die Onboarding-Verfahren für alle bestehenden und künftigen Dienste und Anwendungen rund um die EUDI-Wallet gemäß den Anforderungen der überarbeiteten eIDAS-Verordnung ein hohes Vertrauensniveau aufweisen. Das betonen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und seine französischen Behörde ANSSI in einer jetzt publizierten gemeinsamen Handreichung. Zu den diskutierten Methoden gehören demnach "evaluierte und zertifizierte Verfahren zur Identitätsprüfung aus der Ferne".

Solche etwa von der SIM-Aktivierung oder Kontoeröffnung bekannten Ansätze sind den beiden Behörden zufolge zwar beliebt, da sie flexibel, ortsunabhängig und jederzeit genutzt werden könnten. Insbesondere der Einsatz videobasierter Methoden mithilfe biometrischer Merkmale bringe aber "auch erhebliche technische und sicherheitsrelevante Herausforderungen mit sich". So könnten Identitäten mithilfe von KI generiert werden, vorgezeigte Dokumente gefälscht sein oder Angreifer sogar "die vollständige Kontrolle über übermittelte Informationen" erlangen.

Eine videobasierte Identitätsprüfung sei "grundsätzlich anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen", führen die Verfasser aus. Zudem dürften elektronische Daten aus Ausweisdokumenten derzeit in vielen Staaten gesetzlich noch nicht von Diensteanbietern ausgelesen werden. Könnten gespeicherte Lichtbilder als Referenz für den biometrischen Abgleich – sowie weitere verifizierbare Daten wie Name, Geltungs- und Geburtsdatum – genutzt werden, würde dies erhebliche Vorteile für die Sicherheit solcher Verfahren bieten.

Nötig sei daher "ein umfassender und europaweiter Ansatz für Prüfung, Zertifizierung und Standardisierung" in diesem Bereich, heben BSI und ANSSI hervor. Nur so ließen sich eine hohe Sicherheit bei Onboarding-Prozessen, Interoperabilität zwischen nationalen Systemen und ein nachhaltiges Vertrauen von Nutzern und Aufsichtsbehörden gewährleisten. Aktuell arbeiten die zwei Sicherheitsämter nach eigenen Angaben mit daran, bestehende Standards für die Video-Identifizierung anzupassen und neue in europäischen Normungsgremien zu entwickeln.

Die Angst vor der KI ist oft von theoretischer Natur, insbesondere die Sorge: KI frisst meinen Job. In der Bankbranche gehen Analysten von 200.000 wegfallenden Stellen aus. Dem stehen aber eine Million unbesetzbarer Stellen im öffentlichen Dienst im Jahr 2030 gegenüber. Hier werden wir der KI noch dankbar sein.

Ganz konkret für die allermeisten Menschen sind hingegen Gefahren, die es jetzt schon gibt und persönliche Daten betreffen – die Daten aller Menschen, die in irgendeiner Form im Internet erscheinen, auf Webseiten, in Berichten, in Datenbanken oder in Social-Media-Profilen. Denn all das saugen sich die großen LLM-Modelle beim Training ein und spucken es auf Prompt-Anfrage in freundlicher Sprache hübsch verpackt wieder aus. Wie ein dicker Wal filtern sie statt des Planktons persönliche Daten aus der Flut und verdauen sie.

Man könnte einwenden, dass die großen Player der Branche wie Google, Meta und Microsoft sich diese Daten ohnehin schon immer in ihren großen Bauch einverleiben. Aber die mit KI betriebene Art der Verwertung erreicht eine neue Dimension an Performance, verständiger Kompilation und leichter Auswertbarkeit für fast jedermann.

Das Ausmaß des Datensaugens zeigt eine Untersuchung der Datenschutzfirma incogni, laut der die LLM-Betreiber nicht nur im Internet sammeln – oft unter Ignorieren der robots.txt – sondern auch in diffusen "Datenbanken" (Claude), bei "Marketingpartnern" (Gemini und Meta) bei "Datenbrokern" (Microsoft), bei "Sicherheitspartnern" (ChatGPT, Gemini und DeepSeek) oder auf dem Handy. Hier gibt es Standortdaten (Gemini und Meta), Telefonnummern (DeepSeek, Gemini und Pi) oder sogar Fotos (Grok, auch mit Dritten geteilt) zum Verzehr. Eine Opt-out-Möglichkeit hierfür bietet keiner der LLM-Betreiber in der Studie.

Anders beim Umgang mit den Prompt- und Chat-Daten: Hier können Anwenderinnen und Anwender bei ChatGPT, Copilot, Mistral und Grok erklären, dass die KI-Firmen ihre Kommunikationsdaten nicht verwenden sollen. Anthropic verzichtet für seine Claude-Modelle prinzipiell auf Daten über User-Eingaben. Alle anderen Firmen in der Untersuchung schweigen darüber.

Um die Sicherheit der Bundes-IT ist es schlecht bestellt, wie aus einem vertraulichen Bericht des Bundesrechnungshofs hervorgeht, über den der Spiegel schreibt. Demnach würden weniger als zehn Prozent der 100 Rechenzentren des Bundes die Mindeststandards erfüllen, bei vielen sei nicht einmal der Notstrom garantiert. Das Sicherheitsniveau der Rechenzentren sei insgesamt "unzureichend", urteilen die Prüfer.

Ein weiterer Faktor sei, dass kritische IT-Dienste oft nicht georedundant aufgebaut wären, also nicht auf Infrastruktur an mehr als einem Ort fußten. Ohne derartige Resilienz ließen sich staatliche Kernfunktionen wie Sozialleistungen im Krisenfall aber nicht aufrechterhalten, warnten die Prüfer laut Spiegel in ihrem Bericht an den Haushaltsausschuss des Bundestags. Ihr Fazit: "Die IT des Bundes ist nicht auf die aktuellen Bedrohungen vorbereitet." Die Bundesregierung solle deshalb die gesamte "Cybersicherheitsstrategie neu ausrichten".

Als einen Problemfaktor hat der Bundesrechnungshof einen "Dschungel von Institutionen und Zuständigkeiten" für die Cybersicherheit ausgemacht. Derzeit seien es 77 staatliche Behörden und Institutionen, wobei das Feld der Akteure seit Jahren stetig wachse. Zugleich hätten die Prüfungen des Rechnungshofs aber "eine fehlende oder unzureichende Zusammenarbeit" zwischen all diesen Institutionen festgestellt.

Unter anderem stellt die Prüfbehörde das 2011 gegründete nationale Cyber-Abwehrzentrum infrage. Es gebe keinen Nachweis, dass dieses einen Mehrwert erbringe. Den durch die Bezeichnung geweckten Erwartungen werde es jedenfalls "bisher nicht gerecht".

Überdies lassen die Prüfer kein gutes Haar an der Cybersicherheitsstrategie des Bundesinnenministeriums. Diese hatte 2021 der damalige Bundesinnenminister Horst Seehofer (CSU) vorgestellt und seine Amtsnachfolgerin Nancy Faeser (SPD) hatte sie erweitert.

Eine groß angelegte Malware-Kampagne setzt auf gefälschte Firefox-Erweiterungen. Die Täter versuchen damit, Zugangsdaten von Krypto-Wallets zu stehlen und diese leerzuräumen. Mehr als 40 solcher bösartigen Add-ons haben die IT-Sicherheitsforscher aufgespürt.

Das schreibt Koi Security in einer Analyse. Demnach imitieren die gefälschten Erweiterungen die legitimen Krypto-Wallets und -Tools von weiter verbreiteten Plattformen. Die IT-Forscher nennen als imitierte Marken Bitget, Coinbase, Ethereum Wallet, Exodus, Filfox, Keplr, Leap, MetaMask, MyMonero, OKX, Phantom und Trust Wallet. Haben Nutzerinnen und Nutzer die bösartigen Erweiterungen erst einmal installiert, leitet sie still die Wallet-Secrets aus und bringt damit die Inhalte der User-Wallets in Gefahr.

Mehr als 40 solcher Malware-Erweiterungen haben die IT-Forscher bislang entdeckt. Die Kampagne laufe noch weiter, einige der bösartigen Add-ons sogar noch im Marketplace von Firefox verfügbar. Ihren Anfang nahm die Kampagne laut Koi Security spätestens im April dieses Jahres. Neue bösartige Erweiterungen haben die Täter noch bis vergangene Woche in den Firefox-Add-on-Store hochgeladen. Da solche Uploads weiterhin erfolgen, deute das darauf hin, dass die Operation noch aktiv ist, nachhaltig und sich weiterentwickelnd, erörtern die IT-Forscher.

Die Erweiterungen extrahieren die Zugangsdaten der Wallets direkt von deren Ziel-Webseiten und schicken sie an einen Server im Netz, der unter der Kontrolle der Angreifer steht. Dabei übertragen die Add-ons auch die externe IP des Opfers, vermutlich zur Nachverfolgung.

Die Kampagne setze auf die üblichen Marktplatz-Mechanismen, um Vertrauen zu erschleichen. Die Bewertungen, Rezensionen, Branding und Funktionen sollen das Vertrauen von Nutzern wecken und die Zahl der Installationen hochtreiben. Die bösartigen Add-ons haben teils hunderte gefälschte Rezensionen mit 5-Sterne-Wertung erhalten, die die Zahl der Nutzer weit übersteigt. Das erweckt den Anschein, ein Add-on sei weitverbreitet und positiv bewertet. Zudem orientieren sich die kriminellen Drahtzieher am offiziellen Branding legitimer Wallet-Tools und nutzen identische Logos und Namen. Bei einigen Erweiterungen haben die Täter zudem deren Open-Source-Natur missbraucht und haben den Code einfach um Code zum Stehlen der Zugangsdaten ergänzt. Die scheinen wie gewünscht zu funktionieren und haben lediglich die unbemerkte Nebenfunktion, die Zugangsdaten zu stehlen. Eine Entdeckung der bösen Absichten erschwert das deutlich.

Ein bei einem IT-Sicherheitsunternehmen angestellter Experte für Lösegeldverhandlungen hat sich offenbar Anteile vom Lösegeld zugeschustert. Strafverfolger untersuchen das nun.

Darüber berichtet Bloomberg. Ein Angestellter der Firma DigitalMint aus Chicago habe mit den Tätern Deals ausgehandelt, bei denen er von Lösegeldzahlungen profitiert, erklärte die Unternehmensführung demnach. Es handle sich jedoch um isolierte Handlungen einer Einzelperson. Dem Angestellten hat DigitalMint umgehend gekündigt und das Unternehmen kooperiere mit einer Untersuchung bezüglich "angeblich unautorisierten Handlungen des Angestellten während seiner Anstellung".

Spezialisierte IT-Sicherheitsfirmen mit Schwerpunkt "Incident Response" unterstützen Betroffene, wenn sie einen sogenannten IT-Vorfall haben, bei dem etwa Cyberkriminelle in ihre Systeme einbrechen und Ransomware verteilen, IT-Systeme lahmlegen oder Daten ausschleusen und deren Verkauf androhen. Die IT-Security-Unternehmen unterstützen dabei nicht nur bei der Wiederherstellung der IT-Landschaft – sie haben oftmals auch Experten zur Hand, die bei Lösegeldverhandlungen eine möglichst geringe Zahlung erreichen sollen.

"Solche Unterhändler haben keine Anreize, den zu zahlenden Preis zu drücken oder die Opfer über alle Fakten zu informieren, sofern das Unternehmen, für das sie arbeiten, von der Höhe der gezahlten Forderung profitiert", erklärte ein CEO einer anderen IT-Sicherheitsfirma gegenüber Bloomberg.

In den vergangenen Jahren haben sich IT-Sicherheitsfirmen auch bei Lösegeldverhandlungen stark professionalisiert, erörterte ein weiterer IT-Sicherheitsforscher. Dennoch sei den Opfern am meisten geholfen, wenn kein Lösegeld gezahlt werde.

IT-Sicherheitsforscher haben eine kritische Sicherheitslücke in dem KI-Tool MCP Inspector von Anthropic entdeckt. Angreifer können dadurch ohne vorherige Anmeldung Code auf verwundbaren Systemen ausführen.

In der Schwachstellenbeschreibung erklären die Entdecker, dass es keinen Authentifizierungsmechanismus zwischen MCP-Inspector-Client und MCP Proxy gebe. Das ermöglicht das Unterschieben von MCP-Befehlen über HTTP stdio, am Ende bis zur Ausführung von Schadcode aus dem Netz (CVE-2025-49596 / kein EUVD, CVSS 9.4, Risiko "kritisch").

In einem Blog-Beitrag beschreiben die Entdecker der Sicherheitslücke von Oligo das etwas genauer. Es geht um Entwickler-Werkzeuge für das Model Context Protocol (MCP) [--] eine Art Middleware, entwickelt von Anthropic, die standardisiert zwischen beliebigen Anwendungen, Datenquellen, Tools oder Diensten und einer KI respektive LLM vermittelt und so Aktionen ausführen kann. MCP-Server sind APIs, die Interaktionen zwischen Systemen in der "echten Welt" ermöglichen, und laufen auf Cloud-Instanzen oder etwa lokal auf Entwicklermaschinen. In der Regel komme Python oder Javascript zum Einsatz. Die MCP-Server nutzen üblicherweise von Anthropic bereitgestellte Client-Bibliotheken.

Zum Testen und Debuggen von MCP-Servern kommt in der Regel das offizielle Toolset von Anthropic zum Einsatz. Dazu gehört der MCP Inspector, bestehend aus dem MCP-Inspector-Client (MCPI), einem Webinterface, das eine interaktive Schnittstelle zum Test und Debuggen von MCP-Servern bietet und dem MCP Proxy, einem auf node.js basierenden Server, der das Webinterface über diverse Protokolle an MCP-Server anbindet, etwa stdio, SSE oder streamable-HTTP. Etwa stdio dient der lokalen Prozesskommunikation mit Befehlszeilenwerkzeugen – der MCP Client startet ein lokales Skript über das stdin-Interface und erhält die Ausgabe von stdout zurück.

Der MCP Inspector laufe standardmäßig beim Aufruf des MCP-dev-Befehls und stellt einen HTTP-Server bereit, der auf eingehende Verbindungen lauscht. Die Standardkonfiguration kommt ohne ausreichende Sicherheitsmaßnahmen wie Authentifizierung oder Verschlüsselung daher. Dadurch kann jeder im gleichen Netz oder teils auch im Internet mit den MCP-Servern interagieren und sie missbrauchen, erklären die IT-Forscher. Die Dokumentation weise darauf hin, dass der MCP Proxy lediglich in vertrauenswürdigen Netzwerken betrieben werden solle.

Angreifer können mit vergleichsweise wenig Aufwand auf Cisco Unified Communications Manager zugreifen und die volle Kontrolle über Systeme erlangen. Die Lücke wurde nun geschlossen. Außerdem gibt es noch Sicherheitsupdates für Application Delivery Platform, Enterprise Chat and Email und Spaces Connector.

Den unbefugten Zugriff erlangen Angreifer durch das erfolgreiche Ausnutzen einer "kritischen" Sicherheitslücke (CVE-2025-20309) in Unified Communications Manager und Unified Communications Manager Session Management Edition. Sie ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Davon sind konkret die Versionen 15.0.1.13010-1 bis einschließlich 15.0.1.13017-1 in allen Konfigurationen bedroht.

Der Zugriff erfolgt über einen Root-Account mit statischen SSH-Zugangsdaten, die nicht geändert werden können. Darüber können entfernte Angreifer ohne Authentifizierung zugreifen. Im Anschluss können sie Schadcode mit Root-Rechten ausführen. In so einem Fall gelten Instanzen in der Regel als vollständig kompromittiert. Cisco gibt an, dass der Account aus der Entwicklung stammt.

In einer Warnmeldung listen die Entwickler Hinweise (Indicator of Compromise, IOC) auf, an denen Admins bereits attackierte Systeme erkennen können. Cisco versichert, den Account in der Ausgabe 15SU3 (Jul 2025) geschlossen zu haben. Außerdem stellen sie einen Sicherheitspatch zum Download. Dem Netzwerkhersteller zufolge gibt es derzeit keine Hinweise, dass Angreifer die Schwachstelle ausnutzen.

Enterprise Chat and Email ist für eine XSS-Attacke anfällig (CVE-2025-20310 "mittel"). Die Ausgabe 12.6(1)_ES11 ist abgesichert. Für Ausgabe 11 gibt es keinen Support mehr. Hier ist ein Upgrade auf eine noch unterstütze Version notwendig. Version 15 ist nicht verwundbar. Auf Application Delivery Platform sind ebenfalls XSS-Attacken möglich (CVE-2025-20307 "mittel"). RI.2025.05 verfügt über einen Sicherheitspatch.

In Taiwan wurde ein ehemaliger Rettungssanitäter festgenommen, der das Notrufsystem der Feuerwehr von Kaohsiung infiltriert und sensible Einsatzdaten in Echtzeit an Bestattungsunternehmen verkauft haben soll. Der 30-jährige Mann mit dem Nachnamen Pan hatte laut Anklage Zugriff auf Einsatzzeiten, Standorte und GPS-Daten, um vier Bestattungsfirmen einen strategischen Vorteil zu verschaffen. Das berichtete Golem zuerst.

"Pan richtete eine eigene cloudbasierte Plattform ein und nutzte sein Mobiltelefon, um einen Datenserver zu betreiben, der Bestattungsunternehmen Echtzeitinformationen bereitstellte", heißt es von der Taipei Times. Die Bestatter konnten so schneller als die Konkurrenz am Einsatzort erscheinen – teilweise noch vor den Rettungskräften. Im Gegenzug kassierte Pan monatlich mehrere tausend bis zehntausend Taiwan-Dollar, umgerechnet etwa 100 bis über 1000 Euro.

Der Vorfall kam erst im August 2023 nach Hinweisen auf auffällige Zugriffe auf das Einsatzleitsystem ans Licht, wie die Taipei Times berichtet. Die Datenanalyse ergab, dass Pan seit 2022 ein eigenes Cloud-System aufgebaut hatte, das Informationen in Echtzeit aus 21 Städten und Landkreisen sammelte – dazu gehörten etwa Informationen zum Vorfall und GPS-Koordinaten. Daraufhin versuchten das Innenministerium und die Feuerwehr von Kaohsiung, die Menge der öffentlich verfügbaren Daten zu minimieren und strenge Kontrollen durchzuführen, was jedoch nicht reichte.

Die Behörden schätzen, dass pro Jahr bis zu 30 Millionen unautorisierte Zugriffe auf das System registriert wurden, was erhebliche Risiken für die Datensicherheit und das öffentliche Interesse bedeutete. Nach monatelangen Analysen durch das Justizministerium wurden Pan und weitere Verdächtige, darunter IT-Fachkräfte der Bestattungsunternehmen, verhaftet. Pan gestand die Tat, mehrere Mitarbeiter der betroffenen Firmen wurden ebenfalls angeklagt. Die Ermittlungen dauern an.

Bei einem Cyberangriff auf einen norwegischen Staudamm haben Unbekannte die Wasserdurchlass-Ventile des Bauwerks über mehrere Stunden unbemerkt geöffnet. Der Vorfall am Risevatnet-Stausee im Südwesten Norwegens ereignete sich bereits im April, wie jetzt durch den Sicherheitsdienstleister Claroty bekannt wurde. Die Angreifer hätten sich über ein schwaches Passwort Zugang zu den Kontrollsystemen verschafft. Die Manipulation blieb den Angaben zufolge vier Stunden lang unentdeckt.

Das Kontrollpanel des Staudamms sei per Web einfach zugänglich gewesen. Es steuere die Mindestdurchfluss-Ventile des Damms. Nach erfolgreicher Authentifizierung konnten die Angreifer die Sicherheitskontrollen umgehen und direkten Zugriff auf die Operational Technology (OT)-Umgebung erlangen. Die Manipulation führte dazu, dass alle Ventile vollständig geöffnet wurden, wodurch sich der Wasserabfluss um 497 Liter pro Sekunde über den vorgeschriebenen Mindestdurchfluss erhöhte. Schäden seien durch den Vorfall nicht entstanden.

Claroty weist anhand des Beispiels aber auf die Angreifbarkeit kritischer Infrastrukturen hin. Der Vorfall, hinter dem laut norwegischen Medienberichten russische Hacker vermutet werden, sei eine Art Warnschuss. Erhebungen zufolge seien Tausende Gebäudeautomatisierungssysteme im Internet ohne ausreichende Schutzmaßnahmen erreichbar. Angreifer könnten so zum Beispiel in Krankenhäusern die Klimaanlage abschalten.

Der Vorfall verdeutliche die Notwendigkeit von geeigneten Schutzmaßnahmen. So dürften kritische Infrastrukturen nicht nur mittels eines einfachen Passworts geschützt werden, sondern müssten mindestens per Multi-Faktor-Authentifizierung abgesichert sein. Auch die direkte Erreichbarkeit aus dem Web sei zu hinterfragen. Zudem sei es nötig, die Systeme ständig zu überprüfen, um Eindringlinge und Manipulationen so schnell wie möglich zu erkennen.

Enterprise-Kunden von Microsoft, die zur Update-Verwaltung auf Windows Autopatch setzen, erhalten nun standardmäßig Hotpatching für Windows-11-Clients aktiviert. Dadurch soll sich die Anzahl an Neustarts nach Sicherheitsupdates auf vier im Jahr reduzieren, anstatt monatlich zu erfolgen.

Das hat Microsoft im Windows-Release-Health-Message-Center angekündigt. "Hotpatching von Windows-11-Geräten in deiner Organisation wurde gerade einfacher", versprechen die Redmonder dort. In neuen Richtlinien für Quality-Updates in Windows Autopatch werden die Hotpatch-Updates ab jetzt standardmäßig aktiviert. "Das bedeutet weniger Neustarts und schnellere Sicherheitsupdates für deine verwalteten Geräte", verspricht Microsoft weiter.

Hinter Windows Autopatch verbirgt sich ein bezahlter Dienst für Kunden mit Microsoft-Enterprise-Abonnements. Der verteilt ähnlich wie Microsoft mit Microsoft Update auf globaler Ebene Updates schrittweise in den verwalteten Unternehmensnetzen. Microsoft spricht dabei von "Verteilringen". Zunächst erhalten wenige Rechner ein Update, während das System die Auswirkungen auf die Verlässlichkeit der Maschinen überwacht. Treten keine Probleme auf, erfolgt die Verteilung in den nächsten Ring. Wenn auch da alles gut läuft, erfolgt schließlich die allgemeine Freigabe.

In einem Support-Artikel erörtert Microsoft die Möglichkeiten und den Einsatz von Hotpatch für Windows 11 sowie Windows Server 2025. Als Lizenz setzt Windows Autopatch demnach Microsoft 365 Business Premium, Windows 10/11 Education A3 or A5, Windows 10/11 Enterprise E3 or E5 oder Windows 10/11 Enterprise E3 or E5 VDA voraus.

Die Hotpatching-Funktion hat Microsoft für Windows-11-Desktops bereits Anfang April freigegeben. Nun scheinen ausreichende Erfahrungen bei Microsoft damit vorzuliegen, die einen weiteren Einsatz rechtfertigen.