Monthly Threat Report Juni 2025

Einführung 

Der Monthly Threat Report von Hornetsecurity bietet monatliche Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen und Kommentare zu aktuellen Ereignissen im Bereich der Cybersicherheit. Diese Ausgabe des Monthly Threat Report konzentriert sich auf die Ereignisse des Monats Mai 2025. 

Bitte beachten Sie, dass sich der Bericht in diesem Monat hauptsächlich auf Ereignisse in verschiedenen Branchen und Sicherheitsverstöße konzentriert. Der Mai war ein sehr aktiver Monat für Bedrohungsakteure, der viele Erkenntnisse liefert. Unser Team arbeitet außerdem intensiv an weiteren Analysen, die wir im Monthly Threat Report veröffentlichen möchten und Ihnen hoffentlich in der Juli-Ausgabe vorstellen können.

Zusammenfassung

• Ransomware-Angriffe im Einzelhandel treffen Marks & Spencer, Co-op und Dior, verursachen Betriebsunterbrechungen und legen Kundendaten von DragonForce und Scattered Spider offen.
• Coinbase deckt einen Bestechungsversuch durch Insider auf und setzt eine Belohnung von 20 Millionen US-Dollar für die Identifizierung der Täter aus, die hinter dem gescheiterten Zugriffsversuch stecken.
• Microsoft hat fünf aktiv ausgenutzte Zero-Day-Schwachstellen behoben, darunter kritische Fehler in DWM-, OLE- und Windows-Kernel-Komponenten.
• Der Google Chrome Zero-Day (CVE-2025-5419) wurde nach aktiver Exploitation gepatcht und Notfall-Updates wurden für alle Plattformen bereitgestellt.
• Die PowerSchool-Datenpanne führte zu Erpressungsdrohungen gegen US-Schulbezirke und deckte die Risiken kompromittierter SaaS-Plattformen auf.

Überblick über aktuelle Bedrohungen

Ransomware-Welle im Einzelhandel: Marks & Spencer, Co-op und Dior im Visier

Der Mai war für den Einzelhandel kein guter Monat. Der britische Einzelhändler Marks & Spencer (M&S) bestätigte Störungen im Zusammenhang mit einem Ende April gemeldeten Ransomware-Vorfall, der der Bedrohungsgruppe Scattered Spider (Octo Tempest) zugeschrieben wird. Obwohl M&S keine vollständigen Details veröffentlicht hat, deuten Berichte von BleepingComputer darauf hin, dass die Angreifer bereits im Februar 2025 in das System eingedrungen waren und sich so Zugang zum DragonForce-Verschlüsselungsprogramm auf ESXi-Hypervisoren verschafften.

Der Vorfall bei M&S ist Teil eines größeren Trends: Der britische Lebensmittelhändler Co-op hatte ebenfalls mit durch Ransomware verursachten Betriebsproblemen zu kämpfen und der Luxusartikelhändler Dior bestätigte eine Datenpanne, wenn auch laut The Times keine Finanzdaten betroffen waren. Deutlich wird, dass der Einzelhandel (wie viele andere Branchen auch) weiterhin anfällig für Angriffe auf Zugangsdaten ist – insbesondere, wenn veraltete Infrastrukturen und eine schwache Endpunktverteidigung genutzt werden.

Insider-Bedrohungen und Bestechung: Coinbase setzt Prämie aus

Im Mai erreichten Insider-Bedrohungen eine dramatische neue Dimension, als Coinbase einen Sicherheitsvorfall mit Bestechungsversuchen gegen Mitarbeiter öffentlich machte. Laut Brian Armstrong, dem CEO von Coinbase, boten die Angreifer hohe Geldsummen im Austausch gegen Kundendaten. Obwohl keine Vermögenswerte von Kunden verloren gingen, blieb Coinbase nicht untätig – das Unternehmen setzte eine Belohnung von 20 Millionen US-Dollar für Hinweise aus, die zur Identifizierung der Gruppe hinter der Kampagne führen.

Auch wenn keine finanziellen Vermögenswerte von Kunden kompromittiert wurden, bleibt das Risiko von Schäden hoch: Bei großen Summen an Kryptowährungs-Vermögenswerten können die persönlichen Daten der Vermögensinhaber zum Angriffsziel werden. Dadurch können Angreifer gezielt einzelne Personen angreifen. Im schlimmsten Fall verfügen sie sogar über die Wohnadressen der Kontoinhaber, um direktere Bestechungsversuche zu unternehmen.

Diese Art von Insider-Bedrohungen ist zwar nicht neu, jedoch sind das Ausmaß und die Dreistigkeit der Bestechungsangebote besorgniserregend. Finanzplattformen bleiben ein attraktives Ziel, und selbst erstklassige Sicherheitsmaßnahmen können menschliche Schwachstellen nicht vollständig ausgleichen. Regelmäßige Schulungen Ihrer Mitarbeiter und die konsequente Überprüfung von Zugriffsrechten sind daher unerlässlich, um Risiken zu minimieren.

Microsoft Patch Tuesday: Mehrere aktiv ausgenutzte Zero-Days

Der Patchday im Mai 2025 brachte für Microsoft-Nutzer eine erhöhte Dringlichkeit mit sich. Das Unternehmen veröffentlichte Patches für 78 Sicherheitslücken, darunter fünf Zero-Day-Schwachstellen, die zum Zeitpunkt der Veröffentlichung bereits aktiv ausgenutzt wurden. Nähere Informationen dazu finden Sie im Microsoft Security Update Guide. Besonders relevante Einträge umfassen unter anderem:

• CVE-2025-30397: Eine kritische Schwachstelle in der Microsoft Scripting Engine, die Remote-Code-Execution ermöglicht.
• CVE-2025-30400: Eine Schwachstelle in der Windows DWM Core Library, die eine Ausweitung der Zugriffsrechte ermöglicht.
• CVE-2025-32701, CVE-2025-32706 und CVE-2025-32709: Mehrere Probleme mit lokaler Privilegienerweiterung.

Laut Microsoft wurden alle aufgeführten Schwachstellen zum Zeitpunkt der Offenlegung bereits aktiv ausgenutzt. Falls Sie die entsprechenden Patches noch nicht unternehmensweit implementiert haben, sollten Sie dies umgehend nachholen.

Zero-Day in Chrome – CVE-2025-5419

Google veröffentlichte am 27. und 28. Mai ein Notfall-Update für seinen Chrome-Browser, um eine schwerwiegende Zero-Day-Sicherheitslücke (CVE-2025-5419) in der V8-JavaScript-Engine zu beheben. Die Schwachstelle wurde von einem Mitglied der Google Threat Analysis Group (TAG) entdeckt und soll Berichten zufolge bereits in gezielten Angriffen ausgenutzt worden sein. Google hielt technische Details wie üblich zunächst zurück, bis die Mehrheit der Nutzer den Patch installiert hatte. Weitere Informationen finden Sie im Google Chrome Release Blog.

Dieser Vorfall reiht sich in eine langjährige Serie von Angriffen ein, bei denen Chrome als Angriffsvektor von Bedrohungsakteuren missbraucht wird. Falls Chrome in Ihrer Umgebung im Einsatz ist, sollten Sie dieses Update dringend installieren. In Umgebungen mit hohen Sicherheitsanforderungen kann es zusätzlich sinnvoll sein, automatische Browser-Updates zu aktivieren. Angesichts der immer kürzer werdenden Verweildauer von Angriffen ist schnelles Patching wichtiger denn je.

Bildungssystem unter Beschuss: PowerSchool und die Erpressungswelle gegen Schulbezirke

PowerSchool, ein weit verbreiteter Anbieter von Schulsoftware, hat die Zahlung eines Lösegelds nach einem Cyberangriff bestätigt, bei dem Ende letzten Jahres Kundendaten kompromittiert wurden. Im Mai wurden weitere Einzelheiten aus Gerichtsunterlagen bekannt. Kurz nach dem Vorfall erhielten mehrere US-Schulbezirke Erpressungsdrohungen, in denen auf die gestohlenen Daten Bezug genommen wurde. Dies löste im gesamten Bildungssektor Besorgnis aus.

Laut Berichten sollen die Angreifer Daten aus den gehosteten Systemen von PowerSchool verwendet haben, um Schulbezirke zur Zahlung individueller Lösegeldbeträge zu erpressen. Dieser Angriff verdeutlicht eine beunruhigende Entwicklung in der Vorgehensweise von Ransomware-Angreifern: Sie hacken einen Software-as-a-Service-Anbieter (SaaS), um anschließend dessen Kunden systematisch zu erpressen.

Diese Methode ist effizient, wirkungsvoll und ethisch äußerst bedenklich – leider jedoch zunehmend verbreitet. Für Unternehmen im Bildungsbereich, die auf SaaS-Anbieter angewiesen sind, ist dies ein Anlass, ihre Strategien zum Risikomanagement der Anbieter sowie ihre Reaktionsmöglichkeiten auf Vorfälle zu überprüfen und gegebenenfalls anzupassen.

Prognosen für die kommenden Monate

• Zunehmende Ransomware-Angriffe zielen auf ESXi-Umgebungen ab. Angreifer werden auch weiterhin herkömmliche Dateiverschlüsselung umgehen und direkt die Hypervisor-Ebene angreifen. ESXi bleibt ein bevorzugtes Ziel.
• Zunehmende Erpressung durch SaaS-Lieferketten: Das bei PowerSchool beobachtete Modell – einen SaaS-Anbieter kompromittieren und anschließend dessen Kunden erpressen – wird sich verbreiten. Es ist mit mehr sekundären Opfern von primären SaaS-Angriffen zu rechnen.
• OAuth und browserbasierte Persistenz werden zunehmen: Der Versuch, dauerhaften Zugriff durch den Missbrauch von OAuth-Tokens und die Ausnutzung von Zero-Day-Schwachstellen in Browsern zu erlangen, wird insbesondere bei APT-Gruppen und auf Phishing spezialisierten Cyberkriminellen immer häufiger vorkommen.

Monatliche Empfehlungen

• Installieren Sie Patches sofort – priorisieren Sie die Bereitstellung der Microsoft- und Chrome-Updates vom Mai auf allen Geräten. Alle hervorgehobenen Schwachstellen wurden aktiv ausgenutzt.
• Überprüfen Sie ESXi und die virtuelle Infrastruktur, da Ransomware-Angriffe auf Hypervisoren zunehmen. Stellen Sie sicher, dass Ihre VMware-Umgebungen auf dem neuesten Stand sind, der Zugriff darauf eingeschränkt ist und immutable Backups erstellt werden.
• Überprüfen Sie die Protokolle zur Überwachung interner Bedrohungen, denn der Vorfall bei Coinbase zeigt deutlich, dass Insider-Risiken real sind. Überprüfen Sie DLP-Richtlinien, Zugriffskontrollen und Maßnahmenpläne für den Umgang mit Bestechung.
• Verstärken Sie die Sorgfaltspflicht gegenüber SaaS-Anbietern: Vorfälle wie bei PowerSchool verdeutlichen die Auswirkungen von Sicherheitsverletzungen bei SaaS-Anbietern. Überprüfen Sie SLAs, Anforderungen zur Benachrichtigung bei Sicherheitsverletzungen und die Verwendung von Tokens auf allen Plattformen von Drittanbietern.
• Automatisieren Sie die Durchsetzung von Browser-Patches: Aufgrund seiner weiten Verbreitung ist Chrome ein beliebtes Ziel für Zero-Day-Angriffe. Setzen Sie GPOs oder Endpunkt-Management-Richtlinien um, um zeitnahe Browser-Updates durchzusetzen.

---

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.