Chat with us, powered by LiveChat
Partner Login

Monthly Threat Report April 2026

Zugangsdaten, Kliniken und kompromittierter Code

Author: Security Lab / 09.04.2026 /
Home » Blog » Monthly Threat Report April 2026

Einleitung

Der Monthly Threat Report von Hornetsecurity liefert monatliche Einblicke in M365-Sicherheitstrends, emailbasierte Bedrohungen und Kommentare zu aktuellen Entwicklungen im Bereich Cybersecurity. Diese Ausgabe des Monthly Threat Report konzentriert sich auf Branchenereignisse aus März 2026.

Zusammenfassung

  • Eine einzelne gestohlene Zugangsinformation löschte bei Stryker rund 80.000 Geräte, indem die mit dem Iran in Verbindung stehende Gruppe Handala Microsoft Intune missbrauchte. Die Gruppe gab an, der Angriff habe Niederlassungen in 79 Ländern betroffen. Geräteverwaltungsplattformen sind derzeit ein primäres Angriffsziel.
  • Die Ransomware Medusa legte 35 Kliniken lahm und kappte für neun Tage den Zugriff auf elektronische Patientenakten am University of Mississippi Medical Center, dem einzigen Level-I-TraumazentrumLevel-I-Traumazentrum des Bundesstaates. Das verdeutlicht, dass das Gesundheitswesen ein hochwertiges Ziel mit realen Folgen für die Patientensicherheit bleibt.
  • Nordkorea kompromittierte das Axios-npm-Paket – eine der am weitesten verbreiteten JavaScript-Bibliotheken mit über 70 Millionen Downloads pro Woche – im Rahmen eines Supply-Chain-Angriffs, der eine potenziell enorme Reichweite gehabt hätte, wäre er nicht innerhalb von drei Stunden entdeckt worden.
  • Die Steuersaison war Anlass für mehr als 100 unterschiedliche Phishing-Kampagnen, bei denen Angreifer neben klassischem Credential Harvesting auch RMM-Tools für einen dauerhaften Zugriff nach einer Kompromittierung einsetzten. Ziel waren gleichzeitig Privatpersonen und Finanzinstitute in mehreren Ländern.
  • Entwicklerumgebungen und Open-Source-Ökosysteme geraten zunehmend ins Visier. Die anhaltende npm-Kampagne Nordkoreas und der Angriff auf Axios deuten zusammen auf eine gezielte und immer ausgereiftere Strategie hin, Entwickler zu kompromittieren, um sich so einen breiteren Zugriff auf die Infrastruktur zu verschaffen.
  • Die unkontrollierte Vergabe von SharePoint-Berechtigungen stellt in den meisten Unternehmen ein systemisches und weitgehend unsichtbares Risiko dar. Verschachtelte Gruppen, gefälschte Berechtigungsbezeichnungen, dauerhaft gültige anonyme Freigabelinks und versteckte Dokumentbibliotheken schaffen Sicherheitslücken, die von Standard-Auditprozessen selten erkannt und von Standard-Offboarding-Prozessen häufig übersehen werden.

Bedrohungsüberblick

Die versteckten Gefahren übermäßiger SharePoint-Freigaben

Microsoft SharePoint steht im Mittelpunkt der Art und Weise, wie die meisten Unternehmen interne Dokumente speichern, teilen und gemeinsam bearbeiten. Diese zentrale Rolle macht die Plattform zu einem hochwertigen Ziel. Das häufigere und oft unterschätzte Risiko ist jedoch nicht ein externer Angreifer, der eindringt, sondern die interne Ansammlung übermäßiger und kaum nachvollziehbarer Berechtigungen über einen längeren Zeitraum.

Die meisten SharePoint-Umgebungen wachsen über Jahre organisch im Tagesgeschäft. Dateien werden geteilt, Ordner verschachtelt, Gruppen angelegt und vergessen, und Gastlinks für eine einmalige Zusammenarbeit erstellt und nie widerrufen. Das Ergebnis ist eine Berechtigungslandschaft, die kein Administrator mit nativen Tools vollständig überblicken oder verlässlich prüfen kann. Nach eigenen Untersuchungen von Hornetsecurity kann ein Unternehmen mit rund 400 Mitarbeitern in SharePoint 2 Millionen Dateien mit mehr als 100.000 unterschiedlichen Zugriffsrechten ansammeln. In dieser Größenordnung wird es praktisch unmöglich, manuell nachzuverfolgen, wer Zugriff worauf hat.

Diese Transparenzlücke schafft mehrere konkrete Sicherheitsrisiken, die genauer betrachtet werden sollten.

Verschachtelte Gruppen verschleiern den tatsächlichen Zugriff

SharePoint zeigt die Gruppenmitgliedschaft nicht an, wenn ein Administrator einen Berechtigungseintrag aufruft. Gruppen existieren außerdem an zwei verschiedenen Orten: in Microsoft Entra ID und in den älteren SharePoint Groups. Ein Administrator, der Berechtigungen prüft, sieht unter Umständen nur einen Gruppennamen, ohne feststellen zu können, wer tatsächlich Mitglied dieser Gruppe ist oder ob diese Gruppe weitere Gruppen enthält, die den Zugriff noch weiter ausdehnen. Angreifer mit irgendeiner Form von Administrationszugang können dies gezielt ausnutzen, indem sie Zugriffe in verschachtelten Gruppenstrukturen verbergen, die selbst aktive Widerrufsversuche überdauern.

Berechtigungsbezeichnungen können gefälscht werden

Es ist in SharePoint möglich, Berechtigungsstufen unabhängig von den tatsächlich gewährten Rechten umzubenennen. Eine Berechtigungsstufe, die für „Vollzugriff“ konfiguriert wurde, kann in der Anzeige zum Beispiel als „Lesen“ angezeigt werden. SharePoint zeigt also die Bezeichnung an, nicht die zugrunde liegenden Rechte. Administratoren können dem, was sie sehen, daher nicht vertrauen, ohne die Konfiguration direkt zu prüfen.

Die Standardeinstellungen von Microsoft 365 erzeugen anonyme Freigabelinks für Dateien, die über Teams geteilt werden. Diese Links bleiben bestehen, selbst wenn ein Unternehmen versucht, einem Benutzer den Zugriff zu entziehen. Dadurch entsteht ein dauerhafter und weitgehend unsichtbarer Exfiltrationspfad, den Standard-Offboarding-Prozesse häufig übersehen.

Verborgene Dokumentbibliotheken ermöglichen unauffällige Datenexfiltration

Benutzer mit erhöhten SharePoint-Berechtigungen können Dokumentbibliotheken erstellen, die für andere Mitglieder unsichtbar sind, sensible Dateien in diese Bibliotheken kopieren und externen Gästen Zugriff gewähren. Dadurch wird eine anhaltende und verdeckte Datenexfiltration ohne offensichtliche Audit-Spur ermöglicht.

Warum das wichtig ist

Die praktische Folge dieser Risiken ist, dass die meisten Unternehmen zu keinem beliebigen Zeitpunkt ein zutreffendes Bild davon haben, wer in ihrer SharePoint-Umgebung auf welche Inhalte zugreifen kann. Das ist aus mehreren Gründen wichtig, die über Compliance hinausgehen.

Aus Sicht der Insider-Bedrohung können ausscheidende oder unzufriedene Mitarbeiter den Zugriff über verschachtelte Gruppenmitgliedschaften oder anonyme Links behalten, die Standard-Offboarding-Prozesse überdauern. Die Sperrung der M365-Anmeldung, der häufigste erste Schritt beim Offboarding, ist langsam und entzieht nicht sofort alle Zugriffswege. Ein Mitarbeiter, der die Umgebung gut kennt, kann dieses Zeitfenster ausnutzen.

Aus Sicht externer Angreifer führt jede Kontokompromittierung in einer Umgebung mit weitreichenden SharePoint-Berechtigungen zu einem deutlich größeren Schadensradius, als es sein sollte. Ein einziges kompromittiertes Konto mit nie geprüften Berechtigungen kann Zugriff auf jahrelang angesammelte sensible interne Dokumente aus mehreren Abteilungen haben.

Wir empfehlen Unternehmen, die Hygiene von SharePoint-Berechtigungen als dauerhafte Sicherheitsmaßnahme und nicht als gelegentliche Bereinigungsaufgabe zu behandeln. Die Prüfung verschachtelter Gruppenmitgliedschaften, die Überprüfung und der Widerruf veralteter Gastlinks, die Validierung von Berechtigungsstufenkonfigurationen und die Einführung von Richtlinien für die Genehmigung und zeitliche Begrenzung externer Freigaben sind konkrete Schritte, die das Risiko sinnvoll reduzieren, ohne dass ein Sicherheitsvorfall als Anlass für Maßnahmen erforderlich ist.

Die Steuersaison sorgt für einen Anstieg von Phishing-Kampagnen, die sich gegen Steuerzahler und Finanzinstitute richtet

Jedes Jahr, wenn die Steuersaison beginnt, nutzen Bedrohungsakteure zuverlässig die Kombination aus finanziellem Druck, Fristen und sensibler Kommunikation zwischen Privatpersonen, Arbeitgebern und Behörden aus. Der März 2026 war keine Ausnahme. Das Forschungsteam von Proofpoint dokumentierte Anfang 2026 über 100 unterschiedliche steuerbezogene Phishing-Kampagnen. Das stellt gegenüber früheren Steuerperioden eine deutliche Zunahme hinsichtlich des Volumens und der Vielfalt dar.

Die Kampagnen ließen sich grob in zwei Kategorien einteilen. Die erste Kategorie imitierte Steuerbehörden, meist die US-Steuerbehörde Internal Revenue Service (IRS), und nutzte Köder, die sich auf abgelaufene Steuerunterlagen, ausstehende Rückerstattungen oder erforderliche Kontoverifizierungen bezogen. Ziel dieser Kampagnen war es, Zugangsdaten abzugreifen oder Remote Management and Monitoring (RMM)-Tools wie Datto, N-Able, RemotePC und ScreenConnect zu installieren. So erhielten Angreifer weit über die erste Interaktion hinaus einen dauerhaften Zugang zu den betroffenen Systemen. Die zweite Kategorie richtete sich direkt gegen Finanzinstitute und setzte Credential-Phishing-Kits gegen Kunden von Banken und Finanzdienstleistern in mehreren Ländern ein. Zu den am häufigsten betroffenen Ländern gehörten Kanada, Australien, Singapur, die Schweiz und Japan.

Die Untersuchungen von Proofpoint identifizierten außerdem Bedrohungsakteure, die Malware zum Diebstahl von Informationen über Köder mit Steuerbezug verbreiteten. Das deutet darauf hin, dass einige Akteure weniger am Kontozugriff interessiert sind und sich stärker auf den massenhaften Diebstahl von Zugangsdaten und Session Tokens für den späteren Verkauf oder die weitere Nutzung konzentrieren.

Warum das wichtig ist

Phishing rund um die Steuerzeit ist nicht neu, aber das in diesem Jahr dokumentierte Ausmaß und die Raffinesse der Angriffe verdienen aus mehreren Gründen Aufmerksamkeit.

Der Einsatz von RMM-Tools als Payload nach einer Kompromittierung ist eine bemerkenswerte Abkehr vom reinen Abgreifen von Zugangsdaten, das Kampagnen mit Steuerködern bisher geprägt hat. RMM-Tools sind legitime Software, was bedeutet, dass Endpunkt-Erkennungs-Tool sie oft nicht als Bedrohung identifizieren. Nach der Installation verschaffen sie Angreifern einen dauerhaften, bedarfsorientierten Fernzugriff, der noch lange nach dem Ende der ursprünglichen Kampagne wieder genutzt werden kann. Ein Unternehmen, dessen Mitarbeiter Ende März eine von Angreifern kontrollierte RMM-Instanz installiert, entdeckt das Zugriffsproblem möglicherweise erst Monate später.

Bemerkenswert ist auch die geografische Breite der Angriffe auf Finanzinstitute. Diese Kampagnen beschränken sich nicht auf einen einzelnen Markt. Angreifer führen parallel Operationen in mehreren Regionen durch und passen Köder und Phishing-Kits an lokale Institute und Einreichungsfristen an. Unternehmen, die in mehreren Ländern tätig sind, sollten sicherstellen, dass ihre Sicherheitsschulungen auf regionale Varianten solcher Köder eingehen und nicht nur auf Inhalte, die an ihrem Standort verbreitet sind.

Für Benutzer ist die Handlungsempfehlung klar: Steuerbehörden und Finanzinstitute nehmen keinen Erstkontakt über unaufgeforderte E-Mail-Links oder Anhänge auf. Jede Nachricht, die Dringlichkeit in Bezug auf eine Steuererklärung, eine Erstattung oder eine Kontoverifizierung herstellt, sollte mit Skepsis behandelt und direkt über offizielle Kanäle verifiziert werden.

Wichtige Vorfälle und Branchenereignisse

Die mit dem Iran in Verbindung stehende Gruppe Handala zerstört mithilfe von Microsoft Intune rund 80.000 Geräte bei Stryker

Mitte März zeigte ein destruktiver Cyberangriff auf den Medizintechnikkonzern Stryker, wie stark sich die Risikobewertung rund um Device-Management-Plattformen verschoben hat. Die mit dem Iran in Verbindung gebrachte “hacktivistische” Gruppe Handala, die dem iranischen Ministry of Intelligence and Security (MOIS) zugeschrieben und von Sicherheitsforschern als „Void Manticore“ verfolgt wird, kompromittierte ein einzelnes Stryker-Administratorkonto und nutzte dieses Konto, um über Microsoft Intune einen Massenbefehl zur Fernlöschung auszuführen. Dadurch wurden Betriebssysteminstallationen im gesamten Unternehmen zerstört. Sicherheitsforscher bestätigten, dass rund 80.000 Windows-Geräte gelöscht wurden, während Handala behauptete, der Angriff habe mehr als 200.000 Systeme in 79 Ländern betroffen. Diese Zahl wurde bislang nicht unabhängig bestätigt. Stryker erklärte, der Angriff sei eingedämmt worden und die Wiederherstellung laufe. Malware kam nicht zum Einsatz. Der gesamte Angriffsvektor bestand aus einer einzigen gestohlenen Zugangsinformation.

CISA reagierte innerhalb weniger Tage und veröffentlichte Leitlinien, in denen Unternehmen dazu aufgefordert wurden, ihre Microsoft-Intune-Umgebungen zu prüfen und abzusichern. Der Vorfall wurde als Weckruf dafür betrachtet, wie sich eine cloudbasierte Infrastruktur zur Geräteverwaltung gegen genau die Organisationen eingesetzt werden kann, die von ihr abhängig sind. Auch Krebs on Security berichtete ausführlich über den Angriff, einschließlich Details zur Zuschreibung der Gruppe und zu breiteren Angriffsmustern.

Warum das wichtig ist

Der Angriff auf Stryker ist ein Paradebeispiel dafür, wie eine Fähigkeit, die in nahezu jedem modernen Unternehmen vorhanden ist, mit verheerender Effizienz als Waffe eingesetzt werden kann. Microsoft Intune ist gerade deshalb breit im Einsatz, weil es das Gerätemanagement zentralisiert, die Durchsetzung von Richtlinien vereinfacht und die Remote-Administration im großen Maßstab erleichtert. Genau diese Eigenschaften bedeuten aber auch, dass ein einziges kompromittiertes privilegiertes Konto unmittelbar zu einer unternehmensweiten Datenlöschung führen kann – ohne zusätzliche Tools, ohne laterale Bewegung im internen Netzwerk und ohne Malware, die von Endpunkt-Erkennungssystemen erkannt werden könnte.

Mehrere Faktoren machen dieses Angriffsmuster besonders besorgniserregend:

  • Der Angreifer musste nicht besonders ausgefeilt vorgehen. Kein Zero-Day, kein fortgeschrittenes Schadprogramm, keine monatelange Verweildauer. Nach derzeitigem Kenntnisstand reichte offenbar ein einziger gestohlener Zugangsdatensatz aus, um weltweit in einem Unternehmen massive betriebliche Störungen auszulösen.
  • Device-Management-Plattformen werden in der Regel nicht als Angriffsfläche erster Ordnung behandelt. Viele Unternehmen investieren stark in die Absicherung von Identitäten, Endpunkten und Perimeterkontrollen, während die Management-Ebenen oberhalb dieser Endpunkte vergleichsweise wenig Beachtung erhalten.
  • Destruktive Angriffe nehmen zu. Der gesamte Fall passt in ein breiteres operatives Muster von Akteuren mit Verbindungen zum Iran, die betriebliche Störungen und Zerstörung gegenüber einem stillen, dauerhaften Zugriff priorisieren. Wenn das Ziel Schaden statt Informationsbeschaffung ist, zählen Geschwindigkeit und destruktive Reichweite mehr als Tarnung.

Für jedes Unternehmen, das Microsoft Intune, Microsoft Endpoint Configuration Manager oder vergleichbare Mobile-Device-Management-(MDM-)Plattformen betreibt, sollte dieser Vorfall Anlass für eine sofortige Prüfung sein: Wer hat administrativen Zugriff, sind diese Konten mit phishing-resistenter Multi-Faktor-Authentifizierung (MFA) geschützt, und erfordern Befehle zum Löschen von Geräten eine zusätzliche Autorisierung außerhalb des regulären Kanals, bevor sie ausgeführt werden? Der Schadensradius eines kompromittierten MDM-Administratorkontos ist nicht länger theoretisch.

Medusa-Ransomware legt das University of Mississippi Medical Center lahm

Ende Februar kompromittierte die Ransomware-Gruppe Medusa das University of Mississippi Medical Center (UMMC), das einzige Traumazentrum der Stufe I des Bundesstaats und zugleich dessen einziges Kinderkrankenhaus, mit rund 10.000 Mitarbeitern und einer Patientenversorgung für den gesamten Bundesstaat. Der Angriff zwang UMMC dazu, 35 Kliniken zu schließen, elektive Eingriffe auszusetzen und neun Tage lang den Zugriff auf das Epic-System für elektronische Gesundheitsakten (EHR) zu verlieren. Am 12. März veröffentlichte Medusa das UMMC auf seiner Dark-Web-Leak-Seite, und behauptete, große Mengen an Daten exfiltriert zu haben, darunter Gesundheitsinformationen von Patienten, und forderte 800.000 US-Dollar Lösgeld bis zum 20. März.

Im selben Veröffentlichungszeitraum beanspruchte die Gruppe auch Passaic County in New Jersey als Opfer. Das deutet auf eine parallele Zielausrichtung auf den Gesundheits- und Regierungssektor hin.

Warum das wichtig ist

Dieser Angriff ist ein weiterer sehr konkreter Fall, der verdeutlicht, welche Folgen Ransomware auf die Patientensicherheit im Gesundheitswesen hat. Der Verlust des Zugriffs auf elektronische Patientenakten verursacht nicht nur administrativen Mehraufwand. Er stört Behandlungsabläufe, zwingt Klinikpersonal zur Rückkehr zu Papierprozessen und kann sich direkt auf Behandlungsentscheidungen auswirken. In einem Traumazentrum der Stufe I haben solche Verzögerungen gravierende Folgen.

Medusa gehörte in den vergangenen Monaten zu den aktiveren Ransomware-Gruppen und ihr anhaltender Fokus auf Ziele im Gesundheitswesen und im öffentlichen Sektor folgt einer klaren Logik. Diese Organisationen arbeiten oft mit begrenzten IT-Sicherheitsbudgets, stehen unter enormem Druck, den Betrieb schnell wiederherzustellen, und verarbeiten Daten, die sensibel genug sind, um für Erpressung starken Hebel zu bieten. Daher sind die Ziele mit großem Erpressungspotenzial.

Einige Erkenntnisse aus diesem Fall sind hervorzuheben:

  • Ransomware-Gruppen lassen sich von der humanitären Natur ihrer Ziele nicht abschrecken. Organisationen im Gesundheitswesen sollten nicht davon ausgehen, dass ihre Aufgabe ihnen Schutz bietet. Angriffe durch Medusa haben wiederholt gezeigt, dass Krankenhäuser, Traumazentren und staatliche Stellen als lohnende betrachtet werden, statt als Tabu.
  • Der Resilienz von EHR-Plattformen sollte besondere Aufmerksamkeit gelten. Epic und vergleichbare klinische Unternehmenssysteme sind Single Points of Failure für den klinischen Betrieb. Incident-Response-Pläne sollten Szenarien eines Ausfalls von EHR-Systemen ausdrücklich abdecken, einschließlich getesteter Offline-Workflows.
  • Exfiltration geht der Verschlüsselung inzwischen standardmäßig voraus. Zum Zeitpunkt der Verschlüsselung von Daten haben diese die Umgebung in der Regel bereits verlassen. Die Gefahr einer öffentlichen Offenlegung bedeutet, dass die Wiederherstellung aus Backups zwar kritisch bleibt, aber nicht mehr den gesamten Umfang eines Ransomware-Vorfalls abdeckt.

Organisationen im Gesundheitswesen und im öffentlichen Dienst sollten die Aktivitäten von Medusa als dauerhafte Bedrohung und nicht als Einzelereignis behandeln.

Nordkorea kompromittiert das Axios-npm-Paket in einem Angriff auf die Lieferkette

Am 31. März wurden zwei schädliche Versionen des Axios-npm-Pakets von nordkoreanischen Bedrohungsakteuren im npm-Register veröffentlicht. Axios ist mit mehr als 70 Millionen Downloads pro Woche eine der am häufigsten verwendeten JavaScript-HTTP-Client-Bibliotheken. Die schädlichen Versionen (1.14.1 und 0.30.4) enthielten eine eingeschleuste Abhängigkeit namens „plain-crypto-js“, die Payloads für einen Remote-Access-Trojanern (RAT) aus der nordkoreanischen Command-and-Control-Infrastruktur herunterlud. Die Pakete waren vor Entdeckung und Entfernung ungefähr drei Stunden lang verfügbar.

Microsoft schrieb den Angriff der Gruppe „Sapphire Sleet“ zu, während Google Threat Intelligence ihn unabhängig davon „UNC1069“ zuordnete. Beide Gruppen werden als Bedrohungsakteure mit Nordkorea-Bezug eingestuft. Die Tatsache, dass zwei große Threat-Intelligence-Organisationen unabhängig voneinander zu übereinstimmenden Ergebnissen hinsichtlich der Zuordnung gelangten, verleiht dieser Einschätzung ein höheres Maß an Vertrauen, als es bei Zuschreibungen aus einer einzigen Quelle üblicherweise der Fall ist.

Warum das wichtig ist

Angriffe auf die Lieferkette, die auf das npm-Ökosystem abzielen, sind nichts Neues, aber die Wahl von Axios als Ziel stellt eine bedeutende Eskalation dar. Die meisten Kampagnen mit schädlichen Paketen zielen auf unauffällige oder ähnlich benannte Pakete mit geringer Reichweite und setzen darauf, dass Entwickler sie versehentlich herunterladen. Ein Paket mit der Installationsbasis von Axios ins Visier zu nehmen, ist eine ganz andere Dimension. Wären die schädlichen Versionen länger verfügbar geblieben oder wäre die Erkennung langsamer erfolgt, hätte der potenzielle Umfang einer Kompromittierung in Cloud-, Unternehmens- und Entwicklerumgebungen enorm sein können.

Dieser Angriff steht außerdem in Verbindung mit einer breiteren und anhaltenden nordkoreanischen Kampagne gegen Softwareentwickler. Wie bereits in der vorherigen Ausgabe dieses Berichts erwähnt, führen nordkoreanische Akteure seit einiger Zeit die Kampagne „Contagious Interview“ durch. Dabei veröffentlichen sie schädliche npm-Pakete, die über gefälschte Recruiter-Ansprache auf Entwickler im Bereich Krypto, Web3 und AI abzielen. Der Angriff auf Axios folgt derselben grundsätzlichen Vorgehensweise, hat aber einen deutlich größeren potenziellen Schadensradius. Statt darauf zu hoffen, dass Entwickler versehentlich ein gefälschtes Paket installieren, fanden diese Akteure einen Weg in ein Paket, dem Entwickler bereits vertrauen und das sie standardmäßig verwenden.

Mehrere Auswirkungen verdienen unmittelbare Aufmerksamkeit:

  • Die Überprüfung der Paketintegrität ist nun ein Muss. Unternehmen, die in großem Maßstab Open-Source-Abhängigkeiten nutzen, sollten Software Composition Analysis (SCA)-Tools einsetzen und auf unerwartete Änderungen von Abhängigkeiten in den verwendeten Paketen überwachen. Das Zeitfenster von drei Stunden, in dem diese schädlichen Axios-Versionen verfügbar waren, ist für eine manuelle Erkennung viel zu kurz.
  • Nordkoreanische Lieferketten-Angriffe werden immer ausgefeilter. Die Kampagne „Contagious Interview“ zeugte von Geduld und Reichweite. Der Angriff auf Axios zeigt die Bereitschaft, zentrale Infrastruktur anstelle von nur Randzielen anzugreifen. Beides zusammen weist auf einen Bedrohungsakteur hin, der fähiger wird und Entwicklerökosysteme aggressiver ins Visier nimmt.
  • Die Entwickler-Arbeitsstation ist ein hochwertiges Ziel. Angreifer, die die Umgebung eines Entwicklers kompromittieren, erhalten Zugriff auf Quellcode, Zugangsdaten, Cloud-API-Tokens und in vielen Fällen auf direkte Deployment-Rechte. Die nachgelagerte Gefährdung durch einen einzelnen kompromittierten Entwickler kann weit über die betroffene Person hinausreichen.

Wir empfehlen dringend, die Tools zur npm-Paketintegrität zu überprüfen, die Lockfile-Hygiene in aktiven Projekten zu bewerten und sicherzustellen, dass jede Umgebung, die das Axios-Paket verwendet, nachweislich eine saubere und nicht kompromittierte Version ausführt.

Prognosen für die kommenden Monate

  • MDM- und Device-Management-Plattformen werden verstärkt die Aufmerksamkeit von Angreifern auf sich ziehen. Der Vorfall bei Stryker hat die verheerende Reichweite eines einzelnen kompromittierten Intune-Administratorkontos gezeigt. Es ist zu erwarten, dass Bedrohungsakteure, insbesondere mit destruktiver Absicht, MDM-Umgebungen gezielter prüfen, je besser dieses Angriffsmuster verstanden und je öfter es in der Bedrohungslandschaft nachgeahmt wird.
  • Destruktive Operationen mit Iran-Bezug werden weiter eskalieren. Der Angriff von Handala auf Stryker passt zu einem breiteren Muster iranisch ausgerichteter Akteure, die Störung über Tarnung priorisieren. Solange geopolitische Spannungen hoch bleiben, ist mit weiteren destruktiven Kampagnen gegen westliche Organisationen zu rechnen, wobei Device-Management-Plattformen, Cloud-Infrastruktur und Betriebstechnologie wahrscheinliche Zielkategorien sind.
  • Das Gesundheitswesen wird ein primäres Ziel für Ransomware bleiben. Der Angriff von Medusa auf UMMC entspricht einem anhaltenden branchenweiten Muster. Die Kombination aus begrenzten Sicherheitsbudgets, hohem Druck zur schnellen Wiederherstellung des Betriebs und hochsensiblen Patientendaten macht Organisationen im Gesundheitswesen zu verlässlichen Zielen. Ransomware-Gruppen werden also nichts an ihrer Strategie ändern.
  • Nordkoreanische Lieferketten-Angriffe werden noch ambitionierter. Die Entwicklung von der Kampagne „Contagious Interview“ bis zum Angriff auf Axios zeigt, dass ein Angreifer sowohl den Umfang als auch die Zentralität seiner Lieferketten-Ziele stetig erhöht. Künftige Angriffe auf grundlegende Open-Source-Pakete, CI/CD-Tools oder Speicher für Entwicklerzugangsdaten sind ein logischer nächster Schritt.
  • Köderkampagnen mit Steuerbezug werden nachlassen, RMM-basierte Angriffe bleiben jedoch bestehen. Nach Ablauf der Einreichungsfristen von Steuererklärungen wird das Volumen steuerbezogener Phishing-Kampagnen sinken. Organisationen, deren Mitarbeiter in der Hochphase mit Kampagnen interagiert haben, die RMM auslieferten, könnten jedoch weiterhin unentdeckte Zugänge beherbergen. Eine Überprüfung von Endpunkt-Tools und Remote-Access-Software nach der Steuersaison ist angebracht.
  • SaaS- und Cloud-Management-Ebenen werden weiterhin Ziel von Angriffen sein. Ein gemeinsamer Nenner der Vorfälle in diesem Monat ist, dass Angreifer auf die Werkzeuge zielen, die andere Systeme verwalten und koordinieren, statt einzelne Endpunkte direkt anzugreifen. MDM-Plattformen, npm-Einträge und Cloud-Anmeldedaten-Speicher passen alle in dieses Muster. Es ist zu erwarten, dass sich dieser Fokus verstärkt.

Monatliche Empfehlungen

  • Überprüfen Sie unverzüglich die Zugriffsrechte von MDM-Administratoren. Überprüfen Sie, wer administrative Rollen in Microsoft Intune, Microsoft Endpoint Configuration Manager oder einer vergleichbaren MDM-Plattform innehat. Stellen Sie sicher, dass diese Konten mit phishing-resistenter MFA geschützt sind, wenden Sie das Least-Privilege-Prinzip an, um die Zahl der Benutzer mit Berechtigung für Massenlöschbefehle zu begrenzen, und ziehen Sie für destruktive Aktionen eine zusätzliche Autorisierung außerhalb des regulären Kanals in Betracht. Für den Angriff auf Stryker waren weder Malware noch laterale Bewegung erforderlich. Die Sicherheit der Anmeldedaten für MDM-Administratoren ist jetzt eine kritische Kontrollmaßnahme.
  • Behandeln Sie die Nichtverfügbarkeit von EHR-Systemen als klar definiertes Vorfallszenario. Organisationen im Gesundheitswesen sollten sicherstellen, dass ihre Incident-Response-Pläne ausdrücklich Szenarien abdecken, in denen klinische Plattformen wie Epic nicht verfügbar sind. Offline-Workflows sollten dokumentiert, getestet und dem klinischen Personal bekannt sein, bevor sie unter Druck benötigt werden.
  • Führen Sie nach der Steuersaison einen RMM-Scan durch. Wenn Ihr Unternehmen die Installation von RMM-Tools durch Endpunkt-Kontrollen während der Steuersaison nicht blockiert hat, prüfen Sie Endpunkte jetzt auf nicht autorisierte Instanzen von Tools wie ScreenConnect, RemotePC, N-Able oder Datto RMM. Von Angreifern installierter RMM-Zugriff ist unauffällig, dauerhaft und läuft nicht von selbst ab.
  • Implementieren Sie Software Composition Analysis (SCA) in allen Entwicklungspipelines. Das dreistündige Zeitfenster des Axios-Angriffs ist für eine manuelle Erkennung zu kurz. Automatisierte SCA-Tools, die auf unerwartete neue Abhängigkeiten oder Versionsanomalien bei Paketen achten, sind hier die angemessene Kontrollmaßnahme. Kombinieren Sie dies mit sauberen Lockfile-Hygienepraktiken und Integritätsprüfungen für kritische Pakete.
  • Erweitern Sie Security Awareness Service, um Phishing-Muster während der Steuerperiode abzudecken. Stellen Sie sicher, dass Endbenutzer verstehen, dass Steuerbehörden und Finanzinstitute keinen Erstkontakt über unaufgeforderte E-Mails mit Links oder Anhängen aufnehmen. Schulungen sollten sowohl regionale Köder als auch institutsspezifisches Phishing berücksichtigen, das auf die persönlichen Finanzkonten von Mitarbeitern abzielt, da beide Varianten in dieser Saison verbreitet waren.
  • Sichern Sie privilegierte Cloud-Identitäten auf allen Verwaltungsplattformen ab. Der Angriff auf Stryker, die anhaltenden Angriffe Nordkoreas auf Entwickler und das breitere Muster von Angriffen auf Verwaltungsebenen gehen alle auf kompromittierte Zugangsdaten als Einstiegspunkt zurück. Erzwingen Sie phishing-resistente MFA für alle administrativen Cloud-Rollen, prüfen Sie OAuth-Freigaben und Berechtigungen von Service Accounts und überwachen Sie auffällige administrative Aktionen als dauerhafte Kontrolle und nicht nur als reaktive Maßnahme.

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.  

Dies könnte Sie auch interessieren