剣 KENSAI
← Back to archive

🛡️ KENSAI Sicherheitsintelligenz

Donnerstag, 12. März — Freitag, 13. März 2026
📡 5 überwachte Quellen 📰 18+ analysierte Meldungen ⏰ Bericht erstellt um 04:00 MEZ
3
Datenlecks
6
Kritische CVEs
3
Ransomware / Wiper
4
Neue Bedrohungen
🔓

Datenlecks

KRITISCH

Telus Digital bestätigt Datenleck — Hacker behauptet 1 Petabyte gestohlen

Der kanadische BPO-Riese Telus Digital bestätigte einen mehrmonatigen Sicherheitsvorfall, nachdem Bedrohungsakteure behaupteten, fast 1 Petabyte an Daten exfiltriert zu haben. Das Ausmaß dieses Datenlecks ist außergewöhnlich — einer der größten volumetrischen Datendiebstähle, die je behauptet wurden.

BPODatenexfiltrationKanada
Quelle: BleepingComputer · 12. Mär
HOCH

Bell Ambulance Datenleck — 238.000 Betroffene

Hacker stahlen personenbezogene Daten einschließlich Namen, Sozialversicherungsnummern und Führerscheinnummern von Bell Ambulance, wovon 238.000 Personen betroffen sind. Der Gesundheitssektor bleibt ein bevorzugtes Ziel.

GesundheitswesenPIISSN-Offenlegung
Quelle: SecurityWeek · 12. Mär
MITTEL

Loblaw (Kanadas größter Einzelhändler) informiert Kunden über Datenleck

Der kanadische Einzelhandelsriese Loblaw zwang alle Kunden, sich aus ihren Konten abzumelden, nachdem ein Datenleck bekannt wurde. Die digitalen Dienste des Unternehmens wurden vorübergehend als Vorsichtsmaßnahme unterbrochen.

EinzelhandelKundendatenKanada
Quelle: BleepingComputer · 12. Mär
🐛

Kritische Schwachstellen & Patches

KRITISCH

Veeam Backup & Replication — 4 kritische RCE-Schwachstellen

Veeam hat 4 kritische Remote-Code-Execution-Schwachstellen in seiner Backup & Replication-Lösung gepatcht. Angesichts der weiten Verbreitung von Veeam in Unternehmensumgebungen sind diese Schwachstellen hochprioritäre Ziele für Ransomware-Betreiber. Sofort patchen.

RCEBackup-InfrastrukturSofort patchen
Quelle: BleepingComputer · 12. Mär
KRITISCH

Microsoft Patch Tuesday — 77 Schwachstellen behoben

Microsoft veröffentlichte Fixes für 77 Schwachstellen, darunter CVE-2026-21262 (SQL Server Privilegieneskalation zu Sysadmin, CVSS 8.8), CVE-2026-26113 und CVE-2026-26110 (Office RCE über Vorschaufenster — kein Klick erforderlich). Zwei Fehler wurden vor der Veröffentlichung des Patches öffentlich bekannt.

Patch TuesdaySQL ServerOffice RCE.NET
Quelle: KrebsOnSecurity · 12. Mär
KRITISCH

n8n Workflow-Automatisierung — Server-Übernahme-Schwachstellen

Kritische Fehler in n8n ermöglichten nicht authentifizierten Angreifern die Ausführung von beliebigem Code, den Diebstahl von Anmeldedaten und die Übernahme von Servern. Jede Organisation, die n8n betreibt, sollte sofort patchen — dies ist ein nicht authentifizierter RCE.

n8nNicht authentifizierter RCEWorkflow-Automatisierung
Quelle: SecurityWeek · 12. Mär
HOCH

Cisco IOS XR — Hochkritische Patches

Cisco hat hochkritische Schwachstellen in IOS XR gepatcht, die zu DoS, Befehlsausführung oder vollständiger Geräteübernahme führen könnten. Netzwerkinfrastruktur-Betreiber sollten priorisieren.

CiscoNetzwerkinfrastrukturDoS
Quelle: SecurityWeek · 12. Mär
HOCH

Splunk & Zoom — Schwerwiegende Schwachstellen gepatcht

Kritische und hochkritische Schwachstellen in Splunk und Zoom könnten ausgenutzt werden, um beliebige Shell-Befehle auszuführen oder Privilegien zu erhöhen. Beide sind in Unternehmensumgebungen weit verbreitet.

SplunkZoomShell-Ausführung
Quelle: SecurityWeek · 12. Mär
HOCH

Apple portiert Coruna Exploit-Kit-Patches auf ältere iOS-Versionen zurück

Apple veröffentlichte iOS 15.8.7 und 16.7.15, um CVE-2023-43010 (WebKit-Speicherkorruption) zu patchen, das im Coruna Exploit-Kit für Cyberspionage und Krypto-Diebstahl verwendet wurde. Zielt auf ältere iPhones/iPads ab, die nicht die neueste iOS-Version ausführen können.

AppleWebKitExploit-KitSpionage
Quelle: THN + BleepingComputer + SecurityWeek · 12. Mär
HOCH

WordPress „Ally"-Plugin — SQL-Injection betrifft über 200.000 Websites

Eine Schwachstelle im Ally WordPress-Plugin macht über 200.000 Websites anfällig für SQL-Injection-Angriffe, die es Angreifern ermöglichen, sensible Datenbankinformationen zu extrahieren.

WordPressSQLi200K Websites
Quelle: SecurityWeek · 12. Mär
💀

Ransomware & destruktive Angriffe

KRITISCH — NATIONALSTAAT

MedTech-Riese Stryker durch iranisch verknüpften Wiper-Angriff lahmgelegt

Die vom Iran unterstützte Hacktivistengruppe Handala (verbunden mit MOIS/Void Manticore) behauptet, Daten von über 200.000 Systemen in Strykers globalem Betrieb gelöscht zu haben. 5.000+ Mitarbeiter in Irland nach Hause geschickt. Büros in 79 Ländern betroffen. Persönliche Geräte von Mitarbeitern mit Outlook wurden ebenfalls gelöscht. Anmeldeseiten mit Handala-Logo verunstaltet. Telefonleitungen des Unternehmens melden „Gebäudenotfall".

Dies ist einer der folgenreichsten Wiper-Angriffe auf ein westliches Unternehmen seit Jahren — ein 25-Milliarden-Dollar-Unternehmen praktisch weltweit offline.

NationalstaatIran / MOISWiperHandalaMedTech
Quelle: KrebsOnSecurity + SecurityWeek · 12.–13. Mär
HOCH

England Hockey von AiLock Ransomware betroffen

England Hockey, der nationale Dachverband für Feldhockey, untersucht ein potenzielles Datenleck, nachdem die AiLock-Ransomware-Gruppe sie auf ihrer Leak-Seite gelistet hat. Sportorganisationen werden zunehmend zum Ziel.

AiLockSportUK
Quelle: BleepingComputer · 12. Mär
HOCH

KI-generierte „Slopoly"-Malware bei Interlock-Ransomware-Angriff eingesetzt

Ein neuer KI-generierter Malware-Stamm namens Slopoly wurde bei einem Interlock-Ransomware-Angriff eingesetzt, der es Bedrohungsakteuren ermöglichte, über eine Woche lang Persistenz aufrechtzuerhalten und Daten zu exfiltrieren, bevor die Ransomware eingesetzt wurde. Signalisiert den zunehmenden Einsatz von KI in der Malware-Entwicklung.

KI-generierte MalwareInterlockPersistenz
Quelle: BleepingComputer · 12. Mär
🔬

Neue Bedrohungen & Forschung

KRITISCH

VENON Banking-Trojaner — Rust-basierte Malware zielt auf 33 brasilianische Banken

Ein neuer Rust-basierter Banking-Trojaner namens VENON zielt auf 33 brasilianische Banken mit Overlay-Angriffen, aktiver Fensterüberwachung und LNK-Hijacking. Der Wechsel von Delphi zu Rust signalisiert, dass Malware-Autoren moderne, schwerer zu analysierende Sprachen übernehmen.

Banking-TrojanerRustBrasilienOverlay-Angriff
Quelle: The Hacker News · 12. Mär
HOCH

Sechs neue Android-Malware-Familien zielen auf Pix-Zahlungen & Krypto-Wallets

Zimperium entdeckte 6 neue Android-Malware-Familien: PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT und SURXRAT. PixRevolution kapert Brasiliens Pix-Sofortzahlungsüberweisungen in Echtzeit. Einige verwenden KI/menschliche Operatoren, die die Bildschirme der Opfer live beobachten.

AndroidMobile BankingPixRAT
Quelle: The Hacker News · 12. Mär
HOCH

KI-Agenten-Browser anfällig für Phishing — Perplexity's Comet in 4 Minuten überlistet

Guardio-Forscher zeigten, dass KI-gestützte Agenten-Browser (wie Perplexity's Comet) durch Phishing-Betrug getäuscht werden können, indem die Tendenz der KI ausgenutzt wird, Aktionen zu begründen und zu kommentieren. Angreifer manipulieren den Denkprozess, um Sicherheitsbarrieren zu senken.

KI-SicherheitAgenten-KIBrowserPhishing
Quelle: The Hacker News · 11. Mär
INTEL

Polyfill-Supply-Chain-Angriff (2024) jetzt mit Nordkorea verknüpft

Der Polyfill.io-Supply-Chain-Angriff von 2024, der über 100.000 Websites betraf, wurde zunächst China zugeschrieben, aber neue Beweise aus einer Infostealer-Infektion enthüllen nordkoreanische Beteiligung. Unterstreicht die anhaltenden Herausforderungen bei der Attribution von Supply-Chain-Angriffen.

Supply ChainNordkoreaAttribution
Quelle: SecurityWeek · 12. Mär
⚖️

Strafverfolgung & Industrie

INFO

USA zerschlagen SocksEscort-Proxy-Netzwerk

US-amerikanische und europäische Strafverfolgungsbehörden zerschlugen das SocksEscort-Cyberkriminalitäts-Proxy-Netzwerk, das Edge-Geräte nutzte, die über AVRecon-Linux-Malware kompromittiert wurden. Eine bedeutende Zerschlagung krimineller Infrastruktur.

ZerschlagungProxy-NetzwerkIoT
Quelle: BleepingComputer · 12. Mär
INFO

Meta deaktiviert über 150.000 Betrugszentren-Konten in Asien

Meta führte neue Schutztools ein und deaktivierte über 150.000 Konten, die Betrugszentren in ganz Asien betrieben. Fortführung des Vorgehens gegen organisierte Betrugsoperationen.

MetaBetrugszentrenAsien
Quelle: SecurityWeek · 12. Mär
INFO

Wiz tritt Google Cloud bei — 32-Milliarden-Dollar-Übernahme abgeschlossen

Google schloss seine wegweisende 32-Milliarden-Dollar-Übernahme des Cloud-Sicherheitsunternehmens Wiz ab. Wiz wird seine Marke innerhalb von Google Cloud beibehalten. Die größte Cybersicherheitsübernahme der Geschichte.

M&AGoogle CloudWiz$32B
Quelle: SecurityWeek · 12. Mär
INFO

Google zahlte 17,1 Millionen Dollar an Bug-Bounty-Prämien im Jahr 2025

Googles Vulnerability-Reward-Programm zahlte 2025 insgesamt 17,1 Millionen Dollar an 747 Forscher aus und demonstriert damit das anhaltende Investment in Crowdsourced-Sicherheit.

Bug BountyGoogle VRP
Quelle: BleepingComputer · 12. Mär
INFO

Senat bestätigt Joshua Rudd als NSA- und Cyber-Command-Chef

Der US-Senat bestätigte Joshua Rudd als Leiter sowohl der NSA als auch des US Cyber Command im Rahmen der „Dual-Hat"-Regelung.

RegierungNSAUSCYBERCOM
Quelle: SecurityWeek · 12. Mär

🎯 KENSAI Analyse — Was für unsere Kunden wichtig ist

  • Veeam RCE + Ransomware-Konvergenz: Backup-Infrastruktur ist jetzt ein primäres Angriffsziel. Organisationen, die Veeam nutzen, müssen sofort patchen — Ransomware-Betreiber nutzen Backup-Systeme aktiv aus, um die Wiederherstellung zu verhindern. KENSAIs Infrastruktur-Scanning erkennt exponierte Veeam-Instanzen.
  • KI-generierte Malware ist produktionsreif: Die „Slopoly"-Malware, die beim Interlock-Angriff verwendet wurde, war KI-generiert und effektiv genug für eine einwöchige Intrusion. Dies senkt die Hürde für ausgeklügelte Angriffe — genau deshalb muss KI-gestützte Verteidigung (KENSAI) mit KI-gestützter Offensive mithalten.
  • Nationalstaatliche Wiper werden kommerziell: Der Stryker-Angriff durch Handala/MOIS zeigt, dass staatsgestützte Gruppen verheerende Wiper gegen westliche Unternehmen einsetzen. Über 200.000 Geräte in einer einzigen Operation gelöscht. NIS2-Compliance-Anforderungen für Incident Response und Resilienz sind nicht optional.
  • WordPress-Plugin-Schwachstellen (200K Websites): Die SQLi-Schwachstelle im Ally-Plugin betrifft über 200.000 Websites. KENSAIs DAST-Fähigkeiten können diese Injektionspunkte automatisch erkennen, bevor Angreifer es tun.
  • Supply-Chain-Attribution verschiebt sich: Polyfill-Angriff von China auf Nordkorea re-attribuiert. Organisationen benötigen kontinuierliches Abhängigkeitsmonitoring — KENSAIs SBOM-Analyse erkennt kompromittierte Pakete.
  • Patch-Tuesday-Priorität: Microsoft Office Vorschaufenster RCE (CVE-2026-26113/26110) erfordert null Klicks. SQL Server-Eskalation zu Sysadmin (CVE-2026-21262) ist netzwerkfähig ausnutzbar. Beide haben hohe Priorität für jedes DACH-Unternehmen mit Microsoft-Infrastruktur.