Partner Login

Monthly Threat Report Mai 2025

Ransomware, Sicherheitsverletzungen und Zero-Days: Ein Blick auf die Cybersecurity-Vorfälle im April

Author: Security Lab / 14.05.2025 /
Home » Blog » Monthly Threat Report Mai 2025

Einführung

Der Monthly Threat Report von Hornetsecurity bietet Ihnen Einblicke in aktuelle M365-Sicherheitstrends und E-Mail-basierte Bedrohungen sowie Kommentare zu Ereignissen aus dem Bereich der Cybersicherheit. In dieser Ausgabe konzentrieren wir uns auf die Ereignisse des Monats April 2025.

Zusammenfassung

  • E-Mail-Authentifizierungsprotokolle: DMARC, DKIM und SPF gewinnen im heutigen Sicherheits-Ökosystem zunehmend an Bedeutung. Der Bericht dieses Monats enthält einige Informationen und Ressourcen zu diesen E-Mail-Authentifizierungsprotokollen.
  • Ausgenutzte OAuth-Workflows: Russische Bedrohungsakteure nutzen Social-Engineering-Methoden, um Benutzer dazu zu bringen, ihnen über OAuth einen langfristigen und dauerhaften Zugang zu M365-Konten zu gewähren.
  • BreachForums Zero-Day-Exploit: Eine Zero-Day-Schwachstelle in der MyBB-Software von BreachForums wurde ausgenutzt. Dadurch konnten Angreifer administrative Kontrolle erlangen und Nutzerdaten exfiltrieren, bevor die Website vom Netz genommen wurde.
  • Ransomware-Angriff in Cobb County, Georgia: Die Ransomware-Gruppe Qilin hatte Cobb County im US-Bundesstaat Georgia ins Visier genommen. Sie verschlüsselte wichtige Systeme und stahl sensible Daten, wodurch es zu einer Unterbrechung der Bezirksdienste kam. Dies zog Ermittlungen der Bundesbehörden nach sich.
  • Ransomware-Angriff bei Marks & Spencer: Die Ransomware-Gruppe „Scattered Spider“ hat die internen Systeme von Marks & Spencer erfolgreich durch Phishing kompromittiert, Daten verschlüsselt und Kundenzahlungsinformationen exfiltriert, wodurch der Geschäftsbetrieb unterbrochen wurde.

DMARC-, DKIM- und SPF-Verteidigungsschwerpunkt

E-Mail-Authentifizierungsprotokolle wie DMARC, SPF und DKIM spielen eine entscheidende Rolle dabei, die Integrität der E-Mail-Kommunikation zu gewährleisten und Unternehmen vor E-Mail-basierten Angriffen zu schützen.

  • DMARC (Domain-based Message Authentication, Reporting & Conformance) erlaubt es Domain-Besitzern, festzulegen, welche Mechanismen – wie SPF oder DKIM – zur Authentifizierung ihrer E-Mails verwendet werden sollen. Zudem bietet DMARC Berichtsfunktionen zur Überwachung und Durchsetzung der Richtlinie.
  • SPF (Sender Policy Framework) erlaubt es Domainbesitzern, festzulegen, welche IP-Adressen berechtigt sind, E-Mails in ihrem Namen zu versenden. Dadurch wird verhindert, dass nicht autorisierte Benutzer bösartige E-Mails versenden.
  • DKIM (DomainKeys Identified Mail) fügt eine zusätzliche Sicherheitsebene hinzu, indem es Absendern ermöglicht, E-Mails mit einer kryptografischen Signatur zu versehen. Diese Signatur stellt sicher, dass der Inhalt während der Übertragung nicht manipuliert wurde. Diese Protokolle wirken zusammen, um Spoofing und Phishing zu bekämpfen und die Wahrscheinlichkeit zu verringern, dass bösartige E-Mails Ihre Benutzer erreichen.

Durch die Implementierung dieser Protokolle können Unternehmen ihre E-Mail-Sicherheit erheblich verbessern und sich gegen gängige Bedrohungen wie Phishing und BEC (Business E-Mail Compromise) schützen. Sie stellen sicher, dass E-Mails vor der Zustellung überprüft werden und bieten so eine zusätzliche Verteidigungslinie gegen Angreifer, die sich als legitime Absender ausgeben könnten.

Bei richtiger Konfiguration erhöhen diese Protokolle nicht nur die Sicherheit, sondern stärken auch den Ruf des Unternehmens, da die Empfänger darauf vertrauen können, dass E-Mails von der betreffenden Domain legitim sind. Werden diese Protokolle hingegen nicht implementiert, sind Unternehmen einem höheren Risiko von E-Mail-Betrug und Datenschutzverletzungen ausgesetzt.

Zusätzliche DMARC-Ressourcen

Überblick über Bedrohungen und Vorfälle in der Branche

Missbrauch von OAuth-Workflows zum Hijacking von M365-Konten

Im April 2025 nutzten die als UTA0352 und UTA0355 identifizierten russischen Bedrohungsakteure OAuth-2.0-Authentifizierungsworkflows aus, um Microsoft-365-Konten von Mitarbeitern von Organisationen, die mit der Ukraine und den Menschenrechten zu tun haben, zu übernehmen.

Die Angreifer nahmen über Signal oder WhatsApp Kontakt zu den Zielpersonen auf und gaben sich dabei als europäische Beamte oder ukrainische Diplomaten aus. Sie luden die Zielpersonen zu privaten Videokonferenzen ein, in denen sie über Angelegenheiten im Zusammenhang mit der Ukraine diskutierten. Sobald die Kommunikation hergestellt war, schickten die Angreifer unter dem Vorwand, Zugang zu dem Videoanruf zu gewähren, bösartige OAuth-Phishing-URLs. Diese URLs verleiten die Opfer dazu, den dauerhaften Zugriff auf die Microsoft-365-Konten zu autorisieren und umgehen so die herkömmlichen Authentifizierungsmechanismen.

Analyse der Angriffskette:

  • Erster Zugang: Die Angreifer nahmen über Signal oder WhatsApp Kontakt auf und gaben sich als vertrauenswürdige Beamte aus, um eine Kommunikation aufzubauen.
  • Social Engineering: Sie luden die Zielpersonen zu privaten Videokonferenzen ein und schufen so ein Gefühl der Dringlichkeit und Legitimität.
  • Bösartige Link-Verteilung: Sobald das Vertrauen hergestellt war, schickten sie OAuth-Phishing-URLs, die als Zugangslinks zu dem Videoanruf getarnt waren.
  • OAuth-Autorisierung: Die Opfer wurden aufgefordert, einen Zugangscode einzugeben, der den Angreifern dauerhaften Zugriff auf ihre Microsoft 365-Konten gewährte.
  • Exploitation: Mit autorisiertem Zugriff könnten Angreifer sensible Informationen exfiltrieren und sich möglicherweise lateral innerhalb des Unternehmens bewegen.

BreachForums Zero-Day-Exploit

Es scheint, als seien selbst beliebte Hackerforen nicht vor Cyberangriffen gefeit. So wurde das berüchtigte Hackerforum BreachForums im April 2025 durch einen Zero-Day-Exploit angegriffen, der eine ungepatchte Sicherheitslücke in der MyBB-Software des Forums ausnutzte. Noch dramatischer ist, dass nicht bekannt ist, wer genau für diesen Vorfall verantwortlich ist. Ein Benutzer namens Momondo hat die Schuld auf sich genommen, doch es gibt Kreise, die glauben, dass das FBI beteiligt war. Was auch immer die Wahrheit ist, dieser Vorfall ist aus mehreren Gründen von Bedeutung.

  • BreachForums ist eine bei Bedrohungsakteuren sehr beliebte Website, um Daten-Dumps zu beschaffen. Diese Dumps werden dann für Angriffe verwendet. Obwohl die Seite bereits mehrfach vom Netz genommen wurde, taucht sie immer wieder auf, sodass Cyberkriminelle weiterhin illegal erworbene Datendumps kaufen und verkaufen können.
  • Auch wenn BreachForums ein beliebtes Hackerforum ist, sollte dieser Vorfall Sicherheitsteams an eine Sache erinnern: Vergessen Sie nicht, öffentlich zugängliche oder veraltete Software in Ihren Patching-Prozess einzubeziehen. Denn früher oder später werden die Akteure aufhören, sich gegenseitig anzugreifen, und zur Tagesordnung übergehen.

Ransomware-Angriff in Cobb County, Georgia

Am 28. April 2025 wurde Cobb County im US-Bundesstaat Georgia Ziel eines Cyberangriffs durch die Ransomware-Gruppe Qilin. Obwohl dies nicht offiziell bestätigt wurde, haben Beamte erklärt, dass mehrere Personen direkt von dem Datenleck betroffen waren. Qilin behauptet, 400.000 Dokumente zur Veröffentlichung bereitzuhaben, falls keine Zahlung erfolgt. Dies folgt dem Standard-Doppelerpressungs-Drehbuch, dem viele Bedrohungsakteure folgen. Die gestohlenen Daten sollen angeblich Folgendes enthalten:

  • Autopsie-Fotos
  • Führerscheine (und die dazugehörigen Informationen)
  • Sozialversicherungskarten

Auch wenn es sich hierbei um einen kleineren lokalen Vorfall handelt, sollte er dennoch erwähnt werden, um zu verdeutlichen, dass man nicht automatisch zur Zielscheibe wird, nur weil man kein internationaler Megakonzern ist. Viele kleinere Organisationen werden nachlässig und denken, sie seien zu klein, um ins Visier genommen zu werden. Leider müssen viele von ihnen das auf die harte Tour erfahren.

Ransomware-Angriff bei Marks & Spencer

Ende April wurde das britische Einzelhandelsunternehmen Marks & Spencer (M&S) von der Ransomware-Gruppe „Scattered Spider“ (auch bekannt als „Octo Tempest“) angegriffen. Eine direkte Form des ursprünglichen Eindringens wurde nicht gemeldet, jedoch berichtet Bleeping Computer, dass sich die Angreifer bereits im Februar Zugang zu den Systemen von M&S verschafft hatten. Bemerkenswert ist, dass die Datei NTDS.dit von den Domänencontrollern des Unternehmens entwendet wurde. Von dort aus verbreiteten sich die Angreifer lateral in der Umgebung, bis sie schließlich DragonForce Encryptor auf den ESXi-Hosts des Unternehmens installierten und direkt auf VMs abzielten.

Der Einzelhandelssektor ist nach wie vor stark von Konkurrenz geprägt. Dabei geht es nicht nur um die Finanzen eines bestimmten Unternehmens, sondern auch um die persönlichen Daten seiner Kunden.

Prognosen für die kommenden Monate

Angesichts der nach wie vor weit verbreiteten Angriffe, die auf lokale Ressourcen und das menschliche Element abzielen, gehen wir davon aus, dass die beiden unten genannten Punkte noch einige Zeit lang im Mittelpunkt der Branche stehen werden.

Cloud-basierte Backup- und Recovery-Lösungen werden weiter wachsen

Da Ransomware-Angriffe zunehmend auf herkömmliche lokale Backup-Systeme abzielen, werden Unternehmen die Einführung von cloudnativen Backup-Lösungen beschleunigen. Diese Lösungen bieten eine höhere Ausfallsicherheit durch unveränderlichen Speicher, ermöglichen eine schnellere Wiederherstellung und verringern die Abhängigkeit von potenziell gefährdeten Backups vor Ort.

Security Awareness Trainings werden sich für die moderne Belegschaft weiterentwickeln

Security Awareness Trainings werden sich von gelegentlichen Veranstaltungen zu kontinuierlichen, interaktiven Programmen entwickeln. Unternehmen werden regelmäßige Phishing-Simulationen durchführen und den Austausch von Bedrohungsdaten in Echtzeit sicherstellen, um sicherzugehen, dass ihre Mitarbeiter über die neuesten Angriffstaktiken informiert sind. Auf diese Weise soll eine Unternehmenskultur gefördert werden, in der die Mitarbeiter wachsam gegenüber Cyber-Bedrohungen sind.

Monatliche Empfehlungen

In Anbetracht der aktuellen Bedrohungslage und der Arten von Angriffen, die stattfinden, finden Sie im Folgenden unsere Empfehlungen für diesen Monat:

  • Sicherer Zugang zu Domänencontrollern: Angesichts dessen, was mit M&S passiert ist, lohnt es sich, die Sicherheit aller Domänencontroller vor Ort zu überprüfen. Im Zeitalter der Cloud werden Domänencontroller von einigen Unternehmen vernachlässigt. Ungesicherte DCs sind ein gefundenes Fressen für Angreifer und eine Goldgrube für Bedrohungsakteure. Die regelmäßige Überprüfung der Sicherheitslage dieser Systeme sollte ganz oben auf Ihrer Liste stehen.
  • Bekannte Schwachstellen überwachen und verwalten: Führen Sie regelmäßig Sicherheitsscans durch, um Zero-Day-Schwachstellen in Ihrer gesamten Software, insbesondere in allen öffentlich zugänglichen Diensten, zu ermitteln und zu beheben. Solange eine Schwachstelle nicht behoben ist, ergreifen Sie geeignete Sicherheitsmaßnahmen.

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.  

Dies könnte Sie auch interessieren