Comretix Blog

Die mutmaßlich aus China aktive Hackinggruppe hinter dem verheerenden Cyberangriff auf mehrere große Provider in den USA ist angeblich weiter aktiv und hat zwischen Dezember und Januar fünf weitere Telekommunikationsunternehmen kompromittiert. Das berichtet TechCrunch unter Berufung auf die Cybersicherheitsfirma Recorded Future. Die hat demnach Erkenntnisse darüber, dass die Gruppe aus China die US-Tochter eines bekannten britischen Konzerns, einen US-Internetprovider und Telekommunikationsfirmen aus Italien, Südafrika und Thailand infiltriert hat. In weiteren Systemen würde die Gruppe Informationen sammeln. Und das, obwohl der Cyberangriff im Herbst entdeckt wurde.

Anzeige

Recorded Future geht dem Bericht zufolge nicht davon aus, dass die Angriffe ein Ende finden und das, obwohl die Attacke bereits Anfang Oktober entdeckt wurde. Damals hieß es, dass es mutmaßlich in Diensten der chinesischen Regierung stehenden Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren. Der Gruppe namens "Salt Typhoon", "GhostEmperor" oder "FamousSparrow" ging es dabei offenbar um Informationsbeschaffung. Es handle sich um den "größten Telekommunikationshack in der US-Geschichte – und zwar mit Abstand", hat der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses im November gesagt.

Die staatlichen Ermittlungen zu dem Cyberangriff wurden Ende Januar abrupt gestoppt, als die neue US-Regierung alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen hat. Dadurch wurde die Untersuchung des Angriffs durch das Cyber Safety Review Board regelrecht abgewürgt. Das CSRB gibt es seit 2022, besetzt wird es von der Cybersicherheitsagentur CISA. Vertreten waren darin eigentlich staatliche Einrichtungen wie der Geheimdienst NSA oder das Justizministerium, aber auch privatwirtschaftliche Akteure wie Google oder Cybersicherheitsfirmen. Mit der versammelten Expertise sollen besonders schwerwiegende Cybersicherheitsvorfälle untersucht werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die gemeinnützige Software-Entwicklungsplattform Codeberg steht seit Tagen im Zentrum verschiedener Angriffe. Die ehrenamtlichen Initiatoren des Projekts vermuten eine politische Motivation hinter Hassbotschaften, Spam und dDoS.

Anzeige

Vor wenigen Tagen, also um den 10. Februar, begannen die Angriffe gegen den Codeberg e.V. mit Spam-Kampagnen gegen einzelne Projekte auf der Plattform. Dabei wurden etwa deren Bug-Tracker mit unsinnigen Fehler-Hinweisen überflutet. Zudem füllten sich die E-Mail-Konten der Vereinsmitglieder mit missbräuchlichen Newsletter-Anmeldungen.

Am Morgen des 12. Februar folgte dann der nächste Schritt: Die unbekannten Angreifer erstellten tausende Issues (also Fehler-Hinweise) mit einem ordinären rassistischen Begriff im Titel, verlinkten dort Nutzerkonten und erzeugten so massenhaft E-Mail-Benachrichtigungen. Die Störer änderten mehrfach ihr Vorgehen, um den zwischenzeitlich durch Codeberg getroffenen Gegenmaßnahmen zu entwischen.

Seit dem Mittag des 13. Februar verstopft ein volumetrischer Denial-of-Service-Angriff die Internetleitung des Vereins und sorgt immer wieder für Verbindungsprobleme.

Die Softwareentwicklungsplattform Gitlab ist verwundbar. Sicherheitsupdates schließen mehrere Schwachstellen.

Anzeige

Sind Attacken erfolgreich, können Angreifer einer Warnmeldung zufolge unter anderem eigene Befehle ausführen (CVE-2025-0376 "hoch"), Abstürze auslösen (CVE-2025-12379 "mittel") oder auf eigentlich abgeschottete Daten zugreifen (CVE-2024-3303 "mittel").

Unklar ist bislang, wie solche Angriffe ablaufen könnten und ob es bereits Attacken gibt. Admins, die Gitlab-Installationen verwalten, sollten zügig eine der gegen die geschilderten Attacken gerüstete Version installieren: 17.6.5, 17.7.4, 17.8.2. Den Entwicklern zufolge laufen diese Ausgaben bereits auf Gitlab.com. Gitlab-Dedicated-Kunden müssen nichts unternehmen.

Der Großteil der Sicherheitslücken wurde über die Bug-Bounty-Plattform Hackerone gemeldet.

Angreifer können an mehreren Schwachstellen in unter anderem Firmwares und Treibern von Intel ansetzen, um PCs zu attackieren. Nun sind mehrere Sicherheitspatches erschienen.

Anzeige

Alle Updates listet der Halbleiterhersteller im Sicherheitsbereich seiner Website auf. Zurzeit gibt es noch keine Berichte über laufende Attacken.

Am gefährlichsten gilt eine Lücke (CVE-2023-25191 "kritisch") in der Server-Board-BMC-Firmware. Sie betrifft konkret die Fernwartungsfunktion einiger Server-Mainboards. An der Lücke sollen Angreifer ohne Authentifizierung ansetzen können, um sich höhere Nutzerrechte zu verschaffen.

Neben der Installation der Sicherheitsupdates sollten Admins sicherstellen, dass solche Fernwartungsports nicht öffentlich über das Internet erreichbar sind. So minimieren sie ein Angriffsrisiko. Die betroffenen Server-Mainboards und Sicherheitsupdates sind in einer Warnmeldung aufgelistet. Mit den Updates haben die Entwickler noch zusätzliche BMC-Schwachstellen geschlossen.

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 10. bis 11. April 2025 statt

Die Netz-Selbstverwaltung ICANN ist Phishing zum Opfer gefallen. Trotz Multi-Faktor-Authentifizierung ist es einem Angreifer am Dienstag gelungen, das offizielle ICANN-Konto im Sozialen Netz X zu übernehmen. Der Täter nutzte das Konto aber nicht etwa für politische Stellungnahmen oder eine Lehrstunde in Sachen IT-Sicherheit, sondern suchte weitere Opfer: Sie sollten bitteschön Einheiten einer Kryptowährung namens $DNS kaufen.

Anzeige

Der betrügerische Tweet

(Bild: Screenshot via Brian Krebs)

Die ICANN (Internet Corporation for Assigned Names and Numbers) "definiere digitale Eigentümerschaft neu" war zu lesen. Es handle sich um die "erste Memecoin, die Domain Governance und die Web3-Kultur" auf der Blockchain Solana verbinde. Na wenn das kein überzeugendes Verkaufsargument ist.

Aktuell mehren sich Berichte von Bahnfahrern, die bei der Kontrolle ihres Deutschlandtickets als Schwarzfahrer aus dem Verkehr gezogen werden – obwohl sie dafür bezahlt haben. Der Grund ist anscheinend ein gut frequentierter Fahrkartenshop (D-Ticket.su), der die Tickets verkauft hat. Diese sind mit einem zunächst gültigen Kryptoschlüssel signiert, der jedoch Ende Januar unter mysteriösen Umständen widerrufen wurde. Die betroffenen Reisenden sind deshalb unwissentlich ohne gültiges Ticket unterwegs.

Anzeige

D-Ticket verkaufte Deutschlandtickets zu besonders attraktiven Konditionen.

“Zunächst war ich sehr begeistert, über mehrere Monate kein Problem. Anteiliges Zahlen und super unterwegs mit der Bahn. Heute konnte der Barcode nicht gelesen werden. Mir wurde eine Fahrpreisnacherhebung über 60 € ausgestellt”: Bewertungen dieser Art findet man aktuell zuhauf auf der Trustpilot-Seite des Fahrkartenshops “D-Ticket”. Seit mehreren Tagen werden Deutschlandtickets des Anbieters von Fahrkartenkontrolleuren als ungültig deklariert, die unbedarften Bahnfahrer werden zu Schwarzfahrern und müssen meist eine Strafe zahlen.

Die Kundenbewerten bei der Bewertungsseite Trustpilot waren lange Zeit positiv, schwenkten aber in den letzten Tagen ins Negative um, weil die Tickets nicht länger als gültig anerkannt werden.

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 27. bis 28. Februar 2025 statt und richtet sich an Mitarbeitende aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Ihr Trainer Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Cyberangriffe bedrohen die Existenzen von Unternehmen und verursachen jährlich Schäden in Milliardenhöhe. Wohl dem, der für den Ernstfall gut aufgestellt ist, um den Geschäftsbetrieb zeitnah wieder zum Laufen zu bekommen. Dafür gibt es bewährte Aufgabenzuweisungen und Ablaufpläne. Diese Informationen, und noch viele weitere, gibt es auf der secIT 2025.

Anzeige

Die IT-Security-Kongressmesse findet am 18. bis 20. März im Hannover Congress Centrum (HCC) statt. Bis zum 15. Februar gibt es im Onlineshop noch vergünstigte Eintrittskarten. Ein Tagesticket kostet 79 statt 99 Euro und für beide Tage werden 119 statt 139 Euro fällig. Am 18. März gibt es mehrere Ganztagsworkshops, die Besucher extra buchen müssen.

Auf der NIS2-Podiumsdiskussion diskutiert unter anderem Julia Hermann, CISO bei der infodas, ein Airbus Cyber & IT Tochterunternehmen, über die Umsetzung der Richtlinie.

Das Hauptaugenmerk der secIT 2025 liegt auf den von c't, heise security und iX ausgewählten Referenten und Themen. Diese Vorträge und Workshops sind garantiert werbefrei. Hier stehen die Inhalte im Fokus und Teilnehmer erwarten hilfreiche Fakten, die sie direkt im Tagesgeschäft für mehr IT-Sicherheit umsetzen können.

Fortinet hat in der Nacht zum Mittwoch Sicherheitsmitteilungen zu Schwachstellen in diversen Produkten herausgegeben. Einige Lücken gelten als hochriskant. Mindestens eine – sie erhält als einzige de Einstufung "kritisch" – wird bereits im Internet von Kriminellen angegriffen.

Anzeige

Die bereits attackierte Sicherheitslücke betrifft FortiOS und FortiProxy, Fortinet hat damit eine Sicherheitsmitteilung aus dem Januar aktualisiert. Die dreht sich um eine Umgehung der Authentifizierung im Node.js-Websocket-Modul (CVE-2024-55591, CVSS 9.6, Risiko "kritisch"). Neu hinzugekommen ist nun der Eintrag CVE-2025-24472, CVSS 8.1, "hohes" Risiko. Der Hersteller erklärt, dass Angreifer aus dem Netz dadurch Super-Admin-Rechte erlangen können, indem sie manipulierte Anfragen an das Node.js-Websocket-Modul oder präparierte CSF-Proxy-Anfragen senden.

Das geschieht laut Fortinet bereits im Internet. Die Mitteilung listet daher Indizien für eine Kompromittierung (Indicators of Compromise, IOCs) auf, anhand derer Admins prüfen können, ob sie bereits angegriffen wurden. Betroffen ist FortiOS 7.0.0 bis 7.0.16, die Version 7.0.17 oder neuer hilft dem ab. Für FortiProxy 7.2.0 bis 7.2.12 steht hingegen Fassung 7.2.13 sowie für 7.0.0 bis 7.0.19 der Stand 7.0.20 oder jeweils neuer zum Schließen der Lücke bereit.

Auf der Seite des Fortinet-PSIRT stehen noch eine Menge weiterer Aktualisierungen für diverse Produkte bereit, unter anderem für FortiAnalyzer, FortiPAM, FortiSwitchManager, FortiClientMac, FortiClientWindows, FortiSandbox, FortiManager und so weiter. Zwischenzeitlich ist die Seite etwas instabil und liefert nur eine Fehlermeldung zurück, nach kurzer Zeit klappt die Anzeige jedoch in der Regel. Admins sollten die Liste durchgehen und zusehen, die Aktualisierungen für die in den eigenen Netzen eingesetzten Geräte zügig anzuwenden.

In der Opensource-Sicherheitsplattform Wazuh klaffte eine kritische Lücke, die Angreifern erlaubte, eigenen Code einzuschleusen und verwundbare Server so zu übernehmen. Dafür benötigten sie jedoch Zugriff auf das API, mithin also ein gültiges Nutzerkonto. In größeren Wazuh-Verbünden mit mehr als einem Server gab es jedoch noch einen leichteren Weg, den Server zu kompromittieren.

Anzeige

Der einfachste Weg, das Opensource-SIEM (Security Information and Event Management) zu knacken, führte über dessen API. Schob der Angreifer dort ein ein speziell konstruiertes serialisiertes Objekt mit Python-Code ein, wurde dieser ausgeführt. So konnte er etwa den Server abschalten oder gleich ganz übernehmen.

Auch über den Wazuh-Agenten gab es einen Weg zur Codeausführung. Der Agent ist ein Stück Software, das von einem Endpunkt (etwa einem Büro-PC oder überwachten Webserver) eine Verbindung zum Wazuh-Server herstellt und Überwachungsdaten wie etwa Paketversionen oder Sicherheitsereignisse meldet. In einem Serververbund konnte ein gekaperter Agent ebenfalls über einen geschickt manipulierten API-Aufruf Code auf einem der Server ausführen. Dieser Angriffsweg klappte jedoch nicht bei kleineren Installationen mit nur einem Server.

Die kritische Lücke mit der CVE-ID CVE-2025-24016 (CVSS 9,9/10) klaffte in allen Wazuh-Versionen von 4.4.0 bis 4.9.0 und ist in Version 4.9.1 behoben. Derzeit aktuell ist Wazuh 4.10.1.

Mehrere Schwachstellen in Commerce, InCopy, InDesign, Illustrator, Photoshop Elements, Substance 3D Designer und Substance 3D Stager gefährden PCs. Viele der Schwachstellen stuft Adobe als "kritisch" ein. Sicherheitsupdates stehen für macOS und Windows zum Download bereit. Zurzeit gibt es keine Berichte über laufende Angriffe.

Anzeige

Onlineshops auf Commerce-Basis sind verwundbar und Angreifer können sich unter anderem höhere Nutzerrechte verschaffen (CVE-2025-24434 "kritisch"), Sicherheitsfunktionen umgehen (CVE-2025-24409 "hoch") oder Schadcode ausführen (CVE-2025-24412 "hoch"). Die dagegen gerüsteten Ausgaben listet Adobe in einem Beitrag auf.

InDesign ist in den Ausgaben ID19.5.2 und ID20.1 gegen verschiedene Attacken geschützt. In Illustrator 2024 28.7.4 und Illustrator 2025 29.2.1 haben die Entwickler drei Schadcode-Schwachstellen geschlossen.

Substance 3D Stager ist in der Version 3.1.1 geschützt. Substance 3D Designer ist in der Ausgabe 14.1 gerüstet. Auch in InCopy 19.5.2 und 20.1 wurde eine Schadcode-Lücke (CVE-2025-21156 "hoch") geschlossen. Photoshop Elements ist ausschließlich unter macOS mit ARM-Prozessoren verwundbar. Hier schafft die Ausgabe 2025.1 [build: 20250124.PSE.f552973b, 20250124.PSE.5345f07d (Mac ARM)] Abhilfe.

Ivanti warnt vor mehreren, teils kritischen Sicherheitslücken in der VPN-Software Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC) sowie in Ivanti Cloud Services Application (CSA). Angreifer können die Schwachstellen etwa zum Einschleusen von Schadcode missbrauchen, erklärt das Unternehmen.

Anzeige

Eine Sicherheitsmitteilung von Ivanti listet die Schwachstellen in ICS, IPS und ISAC auf. Am schwerwiegendsten ist demnach ein Stack-basierter Pufferüberlauf, der angemeldeten Nutzern aus der Ferne das Ausführen beliebigen Codes ermöglicht (CVE-2025-22467, CVSS 9.9, Risiko "kritisch"). Details zu der Lücke, etwa wie bösartige Akteure sie ausnutzen können, erörtert Ivanti nicht.

Außerdem können angemeldete Nutzer mit Admin-Rechten durch extern kontrollierbare Dateinamen beliebige Dateien schreiben (CVE-2024-38657, CVSS 9.1, kritisch). Auf nicht näher genanntem Weg können Angreifer zudem Code einschleusen (CVE-2024-10644, CVSS 9.1, kritisch).

Betroffen von diesen und weiteren Schwachstellen, die die Sicherheitsmitteilung auflistet (CVE-2024-13813, CVSS 7.1, hoch; CVE-2024-12058, CVSS 6.8, mittel; CVE-2024-13830, CVSS 6.1, mittel; CVE-2024-13842, CVE-2024-13843, beide CVSS 6.0, mittel), sind Ivanti Connect Secure (ICS) vor Version 22.7R2.6, Ivanti Policy Secure (IPS) vor 22.7R1.3 und Ivanti Secure Access Client (ISAC) vor 22.8R1.

Derzeit haben unbekannte Angreifer verschiedene Windows- und Windows-Server-Versionen im Visier. Admins sollten sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind, damit Systeme vor den Attacken geschützt sind.

Anzeige

Davon sind neben Windows 10 und 11 auch aktuelle und ältere Server-Ausgaben betroffen. Über eine Schwachstelle (CVE-2025-21418 "hoch") verschaffen sich Angreifer Systemrechte. In so einer Position ist davon auszugehen, dass sie PCs vollständig kompromittieren können.

Erfolgreiche Attacken auf die zweite ausgenutzte Schwachstelle (CVE-2025-21391 "hoch") versetzen Angreifer in die Lage, Dateien löschen zu können. Darüber können sie Microsoft zufolge zwar keine vertraulichen Informationen abgreifen, aber etwa dafür sorgen, dass bestimmte Services nicht mehr funktionieren.

Wie solche Angriffe ablaufen und in welchem Umfang sie stattfinden, ist derzeit nicht bekannt.

Behörden und Cybersicherheitsfachleute haben gravierende Sicherheitsbedenken gegen die chinesische KI DeepSeek. Dabei geht es um mehrere Punkte: die offenkundig sehr weitreichende Speicherung von Nutzerdaten, die mögliche Manipulierbarkeit der Anwendung für kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und Überwachungsapparat Zugriff auf Nutzerdaten hat. DeepSeek hat sich seit der Veröffentlichung zu einer der beliebtesten KI-Anwendungen auch in den deutschen App Stores von Apple und Google entwickelt.

Anzeige

Ein wesentlicher Kritikpunkt ist die Speicherung der Tastatureingaben. DeepSeek informiert in seinen Datenschutzhinweisen darüber, dass "Tastatureingabemuster oder -rhythmen" (keystroke patterns or rhythms) erfasst werden – ein Verfahren, das zur Identifizierung von Nutzern eingesetzt werden kann. "Auch Tastatureingaben innerhalb der App können womöglich mitgelesen werden, bevor sie abgeschickt werden", sagt eine Sprecherin des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf dpa-Anfrage.

"Daneben wird die Art und Weise, wie Tastatureingaben vorgenommen werden, gespeichert." Mit solchen Mustern könnten mit Hilfe Künstlicher Intelligenz Nutzprofile erstellt und wiedererkannt werden. Fazit: "Das BSI hält diese Möglichkeit mindestens für sicherheitskritische Bereiche für bedenklich."

Die etablierte US-Konkurrenz von Open AI hingegen sichert zu, nicht aktiv nach persönlichen Daten zu suchen und keine öffentlichen Daten im Internet zum Aufbau persönlicher Profile zu verwenden. Allerdings gibt es auch ein US-Gesetz – den Cloud Act – das amerikanische Firmen verpflichtet, den Behörden Zugriff auf im Ausland gespeicherte Daten zu gewähren.

Anzeige

Nicht nur Cyberkriminelle möchten mittels Schadsoftware auf Mobilgeräten herumschnüffeln und Daten abschnorcheln – auch Regierungen und Geheimdienste interessieren sich für die kleinen Alltagsbegleiter. Und beauftragen spezialisierte Unternehmen, die mittels Zero-Day-Exploits auf den Smartphones eindringen und Spionagesoftware installieren. Um diese geht es in der 25. Folge des heise-Security-Podcasts "Passwort".

In einer koordinierten Aktion von Strafverfolgungsbehörden aus 14 Ländern wurden vergangene Woche vier Anführer der Ransomware-Gruppe 8Base festgenommen, der größte Affiliate von Phobos. Die Festnahme in Thailand gelang zusammen mit dem FBI, der Schweizer Bundesanwaltschaft und der Schweizer Bundespolizei (Fedpol). 8Base steht unter Verdacht, mit einer Variante der Phobos-Ransomware weltweit hohe Lösegeldzahlungen erpresst zu haben. Dabei betrieb sie, wie viele Ransomware-Gruppen, Double Extortion.

Anzeige

Phobos hatte bereits in der Vergangenheit die Basler Softwarefirma Concevis angegriffen, wovon auch Schweizer Bundesbehörden betroffen waren. Auf der Liste der Opfer stehen aber auch Gesundheitseinrichtungen wie Krankenhäuser und Apotheken, informiert die bei der Generalstaatsanwaltschaft Bamberg angesiedelte Zentralstelle Cybercrime Bayern (ZCB), die ebenfalls an der Aktion internationaler Strafverfolgungsbehörden teilgenommen hat.

Am vergangenen Sonntag habe die "IT-Infrastruktur der 8Base-Gruppierung beschlagnahmt und vom Bayerischen Landeskriminalamt vom Netz genommen" werden können, teilt die ZCB mit. "Zuvor wurde durch das Amtsgericht Bamberg die Beschlagnahme von insgesamt 115 Servern angeordnet", so die ZCB. Weitere 15 Server wurden auf Anordnung beschlagnahmt. Laut Europol wurden insgesamt 27 Server beschlagnahmt, die mit dem kriminellen Netzwerk in Verbindung stehen – 17 davon in Deutschland, wie die ZCB mitteilt. In Deutschland fanden laut ZCB 365 Phobos-Angriffe statt.

Die Aktion, an der neben dem FBI und der Schweizer Bundesanwaltschaft Fedpol auch das ZCB und das Bayerische Landeskriminalamt (BLKA) und weitere beteiligt waren, folgt auf eine Reihe von Festnahmen in Zusammenhang mit Phobos. Im Juni ist ein Administrator von Phobos in Südkorea festgenommen und anschließend an die Vereinigten Staaten ausgeliefert worden. Er wird nun wegen verschiedener Ransomware-Angriffe auf Kritische Infrastrukturen angeklagt. 2023 wurde nach Angaben von Europol ein weiterer Phobos-Affiliate in Italien festgenommen. Sie konnten der kriminellen Gruppierung 8Base zugeordnet werden. Europols European Cybercime Centre (EC3) unterstützt die Untersuchung seit Anfang 2019.