🛡️ KENSAI Sicherheitsintelligenz
💥 Schwere Sicherheitsvorfälle & Angriffe
CRITICAL Stryker ($25 Mrd. MedTech) durch iranischen Wiper-Angriff lahmgelegt
Die iranisch unterstützte Hacktivistengruppe Handala (verbunden mit MOIS/Void Manticore) behauptet, über 200.000 Geräte in Stryker-Büros in 79 Ländern gelöscht zu haben. Über 5.000 Mitarbeiter in Irland wurden nach Hause geschickt. Private Smartphones mit Outlook wurden gelöscht, Anmeldebildschirme mit dem Handala-Logo verunstaltet. Der Angriff wurde als Vergeltung für einen Raketenangriff vom 28. Februar auf eine iranische Schule beansprucht.
HIGH Michelin bestätigt 300GB+ Datenleck über Oracle EBS-Angriff
Der Reifenhersteller Michelin bestätigte ein Datenleck im Zusammenhang mit einem Angriff auf ihre Oracle E-Business Suite-Infrastruktur. Cyberkriminelle haben über 300 GB gestohlene Dateien veröffentlicht.
HIGH Bell Ambulance-Datenleck betrifft 238.000 Personen
Hacker erbeuteten persönliche Daten, darunter Namen, Sozialversicherungsnummern und Führerscheinnummern von 238.000 Personen bei Bell Ambulance.
MEDIUM Meta deaktiviert 150.000 Betrugskonten, 21 Festnahmen in Thailand
Meta hat über 150.000 Konten abgeschaltet, die mit südostasiatischen Betrugszentren in Verbindung stehen, im Rahmen einer koordinierten Operation mit Behörden aus 12 Ländern. Die thailändische Polizei nahm 21 Personen fest. Dies folgt auf ein Pilotprojekt im Dezember 2025, bei dem 59.000 Konten entfernt wurden.
🐛 Kritische Schwachstellen & Patches
CRITICAL Microsoft März Patch Tuesday — 84 Schwachstellen, 2 öffentliche Zero-Days
8 Kritisch, 76 Wichtig. Wichtige Zero-Days:
• CVE-2026-21262 (CVSS 8.8) — SQL Server Rechteausweitung zum Sysadmin über Netzwerk
• CVE-2026-26127 (CVSS 7.5) — .NET Denial-of-Service
• 46 Rechteausweitungen, 18 RCE, 10 Informationslecks behoben
CRITICAL n8n RCE-Schwachstelle aktiv ausgenutzt — CISA-Notfalldirektive
CISA ordnete an, dass alle US-Bundesbehörden eine aktiv ausgenutzte RCE-Schwachstelle in n8n (beliebte Workflow-Automatisierungsplattform) patchen müssen. Angreifer nutzen diese Lücke bereits aktiv aus.
HIGH SQLi in Elementor Ally-Plugin — 400.000+ WordPress-Seiten gefährdet
Unauthentifizierte SQL-Injection-Schwachstelle in Ally, einem Elementor-Barrierefreiheitsplugin mit über 400.000 Installationen. Angreifer können ohne Authentifizierung sensible Daten stehlen.
HIGH Fortinet, Ivanti, Intel patchen schwerwiegende Sicherheitslücken
Patches für beliebige Codeausführung, Rechteausweitung und Authentifizierungsumgehung bei FortiGate-, Ivanti- und Intel-Produkten. FortiGate NGFW-Appliances werden aktiv ausgenutzt, um Netzwerke zu kompromittieren und Dienstkonto-Zugangsdaten (AD/LDAP) zu stehlen.
MEDIUM ICS Patch Tuesday — Siemens, Schneider, Moxa, Mitsubishi Electric
Hersteller industrieller Steuerungssysteme veröffentlichten neue Sicherheitshinweise. Betreiber kritischer Infrastrukturen sollten diese umgehend prüfen und patchen.
🦠 Neue Malware & Bedrohungskampagnen
CRITICAL BlackSanta — Neuer EDR/AV-Killer zielt auf Personalabteilungen
Ein russischsprachiger Bedrohungsakteur hat seit über einem Jahr Personalabteilungen mit einem neuen EDR-Killer namens BlackSanta ins Visier genommen. Dieser deaktiviert Antivirus- und EDR-Schutzmaßnahmen auf Kernel-Ebene und ermöglicht Credential-Harvesting und Datenexfiltration.
HIGH KadNap-Botnetz — 14.000+ Edge-Geräte infiziert
Die neue Malware KadNap zielt auf ASUS-Router und baut ein Stealth-Proxy-Botnetz über ein benutzerdefiniertes Kademlia-DHT-Protokoll auf. Über 14.000 Geräte infiziert, 60 % in den USA. Entdeckt von Lumens Black Lotus Labs.
HIGH PhantomRaven — 88 bösartige NPM-Pakete stehlen Entwicklerdaten
Die Supply-Chain-Angriffskampagne PhantomRaven trifft weiterhin npm mit 88 bösartigen Paketen, die sensible Daten von JavaScript-Entwicklern exfiltrieren.
HIGH BeatBanker Android-Malware — Gefälschte Starlink-App
Der neue Android-Banking-Trojaner BeatBanker tarnt sich als Starlink-App auf gefälschten Google Play Store-Webseiten, um Geräte zu kapern.
MEDIUM „Zombie ZIP" — Neue Umgehungstechnik überlistet EDR/AV
Eine neue Technik namens Zombie ZIP versteckt Schadcode in speziell präparierten komprimierten Dateien, um Antivirus- und EDR-Erkennung zu umgehen.
🔧 Branchenbewegungen & Sicherheitstools
INFO Google schließt $32 Mrd. Übernahme von Wiz ab
Wiz gehört nun offiziell zu Google Cloud — die größte Cybersicherheits-Übernahme der Geschichte. Wiz wird seine Marke innerhalb von Google Cloud beibehalten.
INFO OpenAI übernimmt Promptfoo (KI-Sicherheits-Startup)
OpenAI übernimmt Promptfoo ($23 Mio.+ eingeworben), eine Plattform zur Absicherung von LLMs und KI-Agenten. Ein Signal, dass KI-Sicherheit zur Kernkompetenz wird.
INFO Scanner sammelt $22 Mio. für KI-gestützte Bedrohungsjagd
Scanner verbindet KI-Agenten mit Security-Data-Lakes für interaktive Untersuchungen, Detection Engineering und autonome Reaktion.
INFO Quantro Security tritt aus dem Stealth-Modus ($2,5 Mio.)
Das neue Startup integriert sich in bestehende Cybersicherheits-Stacks, erfasst und normalisiert Daten und liefert Bedrohungsintelligenz zur Risikominimierung.
INFO Senat bestätigt Joshua Rudd als Leiter von NSA und US Cyber Command
Die Doppelführungsstruktur wird fortgesetzt — Rudd beaufsichtigt sowohl die NSA als auch USCYBERCOM.
📡 Aufkommende Bedrohungsmuster
HIGH KI-Browser-Agenten anfällig für Phishing durch „Agentic Blabbering"
Forscher brachten Perplexitys Comet AI Browser in unter 4 Minuten dazu, auf einen Phishing-Betrug hereinzufallen. Die Neigung von KI-Browsern, ihre Denkprozesse zu kommentieren („Agentic Blabbering"), kann ausgenutzt werden, um Sicherheitsleitplanken zu umgehen. Entdeckt von Guardio.
Beobachtete Schlüsseltrends
1. Staatlicher Hacktivismus eskaliert: Der iranisch verknüpfte Handala-Angriff mit über 200.000 gelöschten Geräten bei einem $25-Mrd.-Unternehmen zeigt wachsende destruktive Fähigkeiten.
2. Supply-Chain-Angriffe beschleunigen sich: PhantomRaven (npm), FortiGate-Zugangsdatendiebstahl und Oracle EBS-Ausnutzung — alle zielen auf die Lieferkette ab.
3. EDR/AV-Umgehung wird ausgereifter: BlackSanta EDR-Killer auf Kernel-Ebene + Zombie ZIP-Umgehungstechnik — Angreifer entwickeln gezielt Werkzeuge zur Überwindung von Verteidigungssystemen.
4. KI-Sicherheit wird zum M&A-Hotspot: Google/Wiz ($32 Mrd.), OpenAI/Promptfoo, Scanner ($22 Mio.) — massiver Kapitalfluss in KI-Sicherheit.
5. KI-Agenten als Angriffsfläche: Agentische Browser in Minuten gephisht — eine neue Angriffsfläche, die die meisten Unternehmen noch nicht adressiert haben.
🎯 KENSAI-Relevanz & Content-Chancen
- n8n RCE (CISA-Direktive) — KENSAI kann dies in Kundenumgebungen erkennen. Blogpost-Chance zum Thema Sicherheit bei Workflow-Automatisierung.
- FortiGate-Ausnutzungskampagne — Perfekter NIS2-Aufhänger: „Ihre Firewall wird gegen Sie eingesetzt." KENSAI-Scans erkennen schwache/exponierte FortiGate-Konfigurationen.
- WordPress SQLi (Ally-Plugin) — 400.000 Seiten gefährdet. KENSAIs DAST-Fähigkeiten können diese identifizieren. Chance für Massen-Scan-Content.
- KI-Agenten-Sicherheit — OpenAIs Übernahme von Promptfoo bestätigt den KI-Sicherheitsmarkt, in dem KENSAI agiert. Thought-Leadership-Chance.
- Stryker Wiper-Angriff — NIS2-Compliance-Aufhänger für Healthcare-/MedTech-Unternehmen in der DACH-Region.
- ICS Patch Tuesday — DORA/NIS2-Compliance-Inhalte für Industriebetreiber mit Siemens/Schneider-Systemen.