Intro
Der Mai 2025 hat gezeigt, wie stark sich Cyberangriffe auf Lieferketten, Dienstleister und digitale Finanzsysteme konzentrieren. Ransomware war weiterhin eine der grössten Bedrohungen, während Angriffe auf Krypto- und DeFi-Plattformen neue Dimensionen erreichten. Vendor-Risiken spielten bei vielen Sicherheitsvorfällen eine zentrale Rolle und unterstreichen die Bedeutung ganzheitlicher Sicherheitsstrategien. Wir blicken auf die wichtigsten Ereignisse des Monats.
Analyse der wichtigsten Vorfälle
Coca-Cola (Everest-Ransomware):
Anfang Mai attackierte die Everest-Gruppe Coca-Cola in der Mittelmeerregion. Dabei wurden sensible HR-Dokumente, darunter Passkopien und Visabilder von Mitarbeitern, exfiltriert. Nach Ablehnung der Lösegeldforderung veröffentlichte die Gruppe Teile der Daten.
Coinbase:
Am 11. Mai wurde ein Insider-Leak bei Coinbase bekannt. Rund 69.000 Kunden waren betroffen. Name, E-Mail-Adressen, Teile von Sozialversicherungsnummern und Bankdaten wurden exfiltriert. Der Angriff war mit einem Erpressungsversuch über 20 Millionen US-Dollar verbunden.
Adidas:
Mitte Mai meldete Adidas ein Datenleck über einen kompromittierten Kundenservice-Dienstleister. Kontaktinformationen von Kunden wurden entwendet, Zahlungsinformationen blieben jedoch unberührt.
Ascension (Healthcare):
Ebenfalls Mitte Mai wurde Ascension Opfer eines Datenvorfalls bei einem Drittanbieter, durch den rund 437.000 Patientendaten kompromittiert wurden.
Qilin- und Rhysida-Ransomware:
Die Gruppen setzten ihre Kampagnen fort:
- Synnovis (UK): Leak sensibler Pathologiedaten, darunter Informationen zu STI- und Krebserkrankungen.
- Cobb County (Georgia, USA): 400.000 Dateien, rund 150 GB Daten, wurden exfiltriert.
- Toronto District School Board und PowerSchool: Beide wurden erpresst und bedroht, sensible Daten öffentlich zu machen.
Cetus Protocol:
Am 22. Mai wurde eine Schwachstelle in einem Smart Contract des Cetus Protocols ausgenutzt. Angreifer stahlen rund 223 Millionen US-Dollar aus DeFi-Liquiditätspools. Die Attacke nutzte einen Bug in einer Open-Source-Bibliothek, auf der das Protokoll basierte.
LockBit-Ransomware:
Am 8. Mai wurde bekannt, dass LockBits eigene Infrastruktur gehackt wurde. Sicherheitsforscher erhielten Einblicke in interne Chatlogs, Wallet-Adressen und Affiliate-Informationen.
Türkische APT:
Im Mai führten türkische staatlich unterstützte Gruppen Überwachungsoperationen gegen kurdische Truppen im Irak durch. Dazu nutzten sie Zero-Day-Schwachstellen in Messaging-Apps, um gezielt militärische Kommunikation auszuspionieren.
Conclusion
Der Mai unterstrich eindrucksvoll die wachsende Bedeutung von Vendor-Risiken und Angriffen über Lieferketten, während Ransomware weiterhin eine dominierende Bedrohung blieb. DeFi- und Krypto-Projekte wurden ebenfalls ins Visier genommen und boten lukrative Ziele für hochspezialisierte Angreifer. Insgesamt zeigte sich eine weitere Professionalisierung der Angreifer und eine Ausweitung der Angriffsflächen.