← Zurück zum Blog
Sicherheitsbriefing5 min read2026-05-04

Sicherheitsbriefing, 4. Mai 2026: cPanel-Ransomware, Instructure-Datenleck, Telegram-Mini-App-Betrug und Microsoft-Defender-Zertifikatschaos

Das hässliche Muster heute Morgen ist Vertrauen unter Druck: Hosting-Panels, Bildungsplattformen, Chat-Apps und Endpoint-Schutz wurden zum Hebel, sobald vertraute Wege fälschlich als sichere Wege galten.


Kurz gesagt: cPanel sofort patchen, Instructure-bezogene Daten bis zum Gegenbeweis als exponiert behandeln, Telegram Mini Apps mit Einzahlungs- oder APK-Forderungen nicht vertrauen und nach May-3-Defender-Alarmen die Zertifikatslage auf Windows prüfen.


1. cPanel sprang extrem schnell von kritischer Lücke zu echter Linux-Ransomware

CVE-2026-41940 in cPanel und WHM wird bereits massenhaft ausgenutzt. Laut BleepingComputer wurden mindestens 44.000 cPanel-IP-Adressen kompromittiert, wobei aus den Intrusionen schnell Deployments der Go-basierten Linux-Ransomware "Sorry" wurden, die verschlüsselte Dateien mit .sorry markiert.


2. Instructure ist jetzt ein echter Bildungssektor-Breach, nicht mehr nur eine Incident-Meldung

Instructure hat bestätigt, dass bei dem am Freitag offengelegten Cyberangriff Nutzerdaten gestohlen wurden. Betroffen sind laut Unternehmen Namen, E-Mail-Adressen, Student-IDs und Nachrichten zwischen Nutzern an betroffenen Institutionen. Passwörter, Geburtsdaten, staatliche Kennungen und Finanzdaten wurden bisher nicht im Scope gefunden, aber der Blast Radius kann trotzdem enorm sein, falls die ShinyHunters-Angaben teilweise stimmen.


3. Telegram Mini Apps werden als Betrugs-UX und Android-Malware-Lieferweg missbraucht

Forscher von CTM360 sagen, dass die FEMITBOT-Operation Telegram-Bots plus Mini Apps nutzt, um Marken zu imitieren, Fake-Guthaben zu zeigen, Opfer zu Einzahlungen zu drängen und teils Android-APKs als legitime Apps auszugeben. Der Trick funktioniert, weil der Phishing-Flow in Telegram selbst bleibt und dadurch normal wirkt.


4. Microsoft-Defender-Fehlalarme machten aus vertrauenswürdigen DigiCert-Roots ein Ausfallrisiko

Ein Defender-Signaturupdate markierte legitime DigiCert-Root-Zertifikate fälschlich als Trojan:Win32/Cerdigent.A!dha und entfernte sie auf manchen Systemen aus dem Windows-Trust-Store. Microsoft sagt, der Fehler sei ab Security Intelligence 1.449.430.0 behoben, aber genau solche Defensivfehler brechen leise Trust Chains, während Teams Geister jagen.


Was Sicherheitsteams heute tun sollten

  1. cPanel und WHM zuerst patchen, wenn noch irgendein exponiertes Hosting-Panel ungepatcht ist.
  2. Prüfen, ob Institutionen, Kunden oder Lieferanten auf Instructure oder Canvas angewiesen sind, und Kommunikation vorbereiten.
  3. Eine Nutzerwarnung zu Telegram-Investment-Betrug veröffentlichen und sideloaded APK-Pfade blockieren, wo möglich.
  4. Windows-Endpunkte auf Defender-Zertifikats-Fehlalarme auditieren, bevor daraus größere Ausfälle werden.

Quellen


Fazit: Der gemeinsame Fehler heute ist fehlgeleitetes Vertrauen in vertraute Infrastruktur. Angreifer haben es bei cPanel und Telegram ausgenutzt, Verteidiger sind bei Zertifikaten darüber gestolpert. Wer Annahmen am schnellsten verifiziert, begrenzt den Schaden am besten.

Finden Sie exponierte Vertrauenspfade, bevor Angreifer oder kaputte Tools es tun

KENSAI hilft Teams, riskante internetexponierte Panels, SaaS-Abhängigkeiten, Phishing-Flächen und blinde Stellen in Trust Chains zu kartieren, bevor daraus Vorfälle werden.

Kostenlosen Scan starten →

Bleiben Sie scharf.

🗡️ KENSAI Security Team