Security-Briefing Oktober 2025: Angriffe auf kritische Infrastrukturen

Cyberangriff auf Flughäfen: langsame Normalisierung
Zwei Wochen nach einem Cyberangriff auf einen Dienstleister für Systeme zur Passagier- und Gepäckabfertigung kehrt langsam wieder Normalität ein, so etwa am Flughafen Berlin (BER). Die Ransomware-Attacke auf den Lieferanten Collins Aerospace hat in Grossbritannien bereits zu einer Festnahme geführt.

Mehr dazu

Supply-Chain-Angriff auf Javascript
Via npmjs.com verbreitete sich auf Github eine Malware in der Art eines Wurms. Sie wurde erst im Paket @ctrl/tinycolor npm entdeckt, verbreitete sich dann über fast 200 andere npm-Pakete. Wie der Entdecker der Infektion mitteilte, seien die Github-Verantwortlichen nicht erreichbar gewesen. Bereits eine Woche zuvor war ein Angriff auf die Laufzeitumgebung Node.js bekannt geworden. Vermutet wird dieselbe Täterschaft.

Mehr dazu

Microsoft bremst Phishing-Trojaner RaccoonO365
Die Malware RaccoonO365 stiehlt Login-Daten von Microsoft 365. Nun gelang es der Digital Crime Unit (DCU) von Microsoft, 338 Websites in diesem Zusammenhang offline zu nehmen. Ein grosser Teil der Infrastruktur für Angriffe sei damit lahmgelegt worden, so Microsoft. RaccoonO365 ist ein Phishing Kit, das Kriminelle mieten und ohne Vorkenntnisse Angriffe starten können. Es erzeugt gefälschte E-Mails, die angeblich von Microsoft kommen sollen. Seit Juli 2024 hat der Trojaner laut Microsoft mehr als 5000 Opfer in 94 Ländern gefunden.

Mehr dazu

Mörderischer Kontakt per E-Mail
Es kursieren E-Mails mit vermeintlichen Morddrohungen. Ein angeblicher Auftragsmörder namens «ADAM X» bietet an, gegen Zahlung eines Lösegelds den angeblichen Mordauftrag nicht auszuführen. Solche Drohungen sollten Betroffene ignorieren – es handelt sich um reine Täuschungsversuche. Die Absender zielen darauf ab, Empfänger einzuschüchtern und zu übereilten Zahlungen zu bewegen.

Mehr dazu

Angriffe über Fake-Mobilmasten
Phishing-SMS sind eine Plage und werden immer effektiver von den Providern blockiert. Um diese zu versenden, benötigen Cyberkriminelle aber nicht einmal mehr Zugang zur Infrastruktur der Mobilfunknetzbetreiber. Sogenannte SMS-Blaster können im Umkreis von einem Kilometer mehr als 100'000 SMS absetzen. Sie gaukeln Telefonen eine Verbindung mit einem echten Mobilfunkmast vor. Im September 2025 erst hat das Bundesamt für Cybersicherheit vor solchen Angriffen in der Westschweiz gewarnt. Die SMS drohen mit einer Geldbusse und haben den Zweck, Kreditkarten- und andere Daten zu sammeln.

Mehr dazu

Salesforce-Attacke: massive Erpressung
Mehrere Cybergangs erpressen im Darknet Salesforce und ihre Kunden. Sie verlangen von den 39 Opfern von Datendiebstahl oder alternativ von Salesforce eine Milliarde Dollar Lösegeld. Salesforce hat via Bloomberg bekannt gegeben, seine Plattform sei nicht kompromittiert und man werde nicht zahlen. Unter den betroffenen Firmen sind illustre Namen wie Adidas, Google, Cloudflare, Cisco, McDonald’s und viele mehr. Die Angriffe sind bereits im Sommer bekannt geworden. Die Gangs nutzen vor allem Voice Phishing – sie rufen ihre Opfer an oder hinterlassen gefälschte Sprachnachrichten.

Mehr dazu

Discord-Angriff: 1,6 TB an Daten entwendet
Eine Hackergruppe hat nach eigenen Angaben rund 1,6 Terabyte Daten aus der Support-Plattform von Discord abgezogen. Laut dem Magazin BleepingComputer handelt es sich um 8,4 Millionen Supporttickets sowie Ausweisnummern von rund 70'000 Nutzerinnen und Nutzern, die zur Altersverifikation gesammelt worden sind. Über ein kompromittiertes Konto eines Mitarbeiters sei es etwa möglich gewesen, die Mehrfaktorauthentifizierung abzuschalten oder persönliche Daten von Nutzerinnen und Nutzern abzufragen. Discord lehnt Lösegeldforderungen mit dem Hinweis ab, der Vorfall betreffe einen Drittanbieter.

Mehr dazu

Red Hat verliert 570 GB Github-Daten
Linux-Anbieter Red Hat – vor allem im Server- und Firmenkundengeschäft tätig – meldet einen Einbruch in ein nicht öffentliches Github-Repository. Die Erpresser wollen 570 GByte Daten aus 28'000 internen Projekten gestohlen haben – was Red Hat allerdings nicht bestätigt. Es gebe keine Hinweise auf Auswirkungen auf andere Dienste oder Produkte von Red Hat. Ausserdem sei es kein Angriff auf die Softwarelieferkette. Die Hacker wiederum wollen ihre Beute – darunter Authentifizierungs-Tokens und Code – gegen Red-Hat-Kunden einsetzen.

Mehr dazu

Baut sich ein neues Kartell auf?
Gemäss einer Recherche von Inside IT meldet sich eine Ransomwarebande in der Schweiz zurück, die vor zwei Jahren die Stadt Baden angegriffen hat. Die «Dragonforce»-Bande will sogar ein neues Kartell aufbauen und lädt andere Hacker dazu ein, unter eigener Marke bei ihr tätig zu werden. Bis zu 80 Prozent der Einnahmen soll sich die Bande mit den Affiliates teilen.

Mehr dazu

Angriff mit Hilfe von Hardware
Hardwareherstellerin Dell macht auf ein potenzielles Risiko von Hardware aufmerksam: Wer in irgendeiner Form darauf Zugriff erlange, könne ein System und die damit verbundenen Netzwerke angreifen. Sogenannte «Implants» richten in Lieferketten grossen Schaden an. Gehackt werden etwa Service-Schnittstellen oder durch künstlich erzeugte Fehler («Fault Injection»).

Mehr dazu

Microsoft nutzt KI-Agenten zur Cyberabwehr
Aus Microsoft Sentinel wird eine agentenbasierte SIEM- und Sicherheitsplattform. Die neuen Features Sentinel Data Lake, Sentinel Graph und ein MCP-Server verstärken die Sicherheitsarchitektur. Partner können eigene Lösungen bauen und im neuen Microsoft Security Store anbieten, Verteidiger somit noch gezielter Angriffe abwehren.

Mehr dazu

Bug Bounty Programm von Google für KI
Google hat ein eigenes Bug Bounty Programm für ihre KI-Systeme aufgesetzt. Für jedes Finding können Sicherheitsforscher:innen bis zu 20'000 Dollar (ohne Boni) verdienen. Ausgeschlossen sind Schwachstellen der KI selbst, beispielsweise Halluzinationen, Prompt-Angriffe oder Jailbreaks. Google zahlt für Schwachstellen, die etwa das Stehlen der Modell-Parameter, Daten-Exfiltration oder Phishing-Attacken via KI ermöglichen.

Mehr dazu

Apple schliesst Sicherheitslücken
Alle Apple-Betriebssysteme vor 18.7.1. und 26.0.1 (iOS, iPad) sowie die Desktop-Systeme vor MacOS Tahoe 15.7.1. sind von einem schweren Fehler (CVE-2025-43400) betroffen, der das Gerät beschädigen könnte. Das Öffnen einer manipulierten Datei genügt. Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI stuft das Risiko als hoch ein und empfiehlt dringend ein Update.

Mehr dazu

Unity: Hacken beim Spielen
Die Spiele-Engine Unity steckt als Laufzeitumgebung in vielen Games auf Android, Linux, macOS und Windows. Sie enthält eine als hoch eingestufte Schwachstelle (CVE-2025-59489), die Angreifern das Ausführen von Schadcode erlaubt. Betroffene Software sollte bis zur Verfügbarkeit eines Updates deinstalliert werden, so der Hersteller.

Mehr dazu

Sora 2: Fake-Videos ohne Wasserzeichen
Der neue Videogenerator von OpenAI verfügt nur über simple Sicherheitsmechanismen, die sich leicht übertölpeln lassen. Zahlreiche Online-Services bieten die Entfernung der Wasserzeichen an. Experten befürchten eine neue Welle von Fake-Videos und Desinformationskampagnen via Videos.

Mehr dazu

Google behebt drei Lücken in Chrome
Chrome 141 für Windows, MacOS, Linux und Android sollte schnellstens aktualisiert werden. Der Browser enthält drei Schwachstellen: eine in der Komponente Sync (CVE-2025-11458), eine in Storage (CVE-2025-11460) und eine in der Web-API Webcodecs (CVE-2025-11211). Im schlimmsten Fall könnte innerhalb der Sandbox des Browsers Schadcode ausgeführt werden.

Mehr dazu

Cisco-Firewall-Schwächen ausgenutzt
Zero-Day-Angriffe auf zwei Firewall-Produkte von Cisco (ASA und FTD) erfordern ein dringendes Update der Software bzw. das Isolieren von ungepatchten Systemen. Angreifer:innen können über CVE-2025-20333 Code aus der Ferne ausführen und über CVE-2025-20362 ohne Anmeldung auf eigentlich geschützte Web-Endpunkte zugreifen.

Mehr dazu