🛡️ KENSAI Sicherheitsintelligenz
Kritische Schwachstellen & Zero-Days
Google behebt zwei aktiv ausgenutzte Chrome-Zero-Days
Google hat Notfall-Updates veröffentlicht, um zwei schwerwiegende Chrome-Zero-Days zu beheben, die aktiv ausgenutzt werden. CVE-2026-3909 ist ein Out-of-Bounds-Write in der Skia-Grafikbibliothek, der zur Codeausführung führen kann. CVE-2026-3910 ist eine fehlerhafte Implementierung in der V8-JavaScript-Engine. Patches sind verfügbar in Chrome 146.0.7680.75 (Windows/Linux) und 146.0.7680.76 (macOS). Dies sind der 2. und 3. Chrome-Zero-Day, die 2026 gepatcht wurden.
Microsoft Patch Tuesday: 77 Schwachstellen einschließlich SQL Server-Rechteausweitung
Microsofts Patch Tuesday im März 2026 behebt 77 Schwachstellen. Bemerkenswert: CVE-2026-21262 ermöglicht einem autorisierten Angreifer die Eskalation zu Sysadmin-Rechten auf SQL Server 2016+ über das Netzwerk (CVSS 8.8). Keine Zero-Days in diesem Monat, aber zwei Schwachstellen waren vor dem Patch öffentlich bekannt.
Apple patcht Coruna-Exploits in älteren iOS-Versionen
Apple hat iOS/iPadOS 16.7.15 und 15.8.7 veröffentlicht, um Schwachstellen zu beheben, die als „Coruna-Exploits" bekannt sind. Laut SecurityWeek steckt ein US-Rüstungsunternehmen hinter der Exploit-Kette. Nutzer älterer Geräte sollten umgehend aktualisieren.
WordPress-Plugin-Schwachstelle macht über 200.000 Websites anfällig für SQL-Injection
Eine Schwachstelle im Ally WordPress-Plugin ermöglicht Angreifern das Einschleusen von SQL-Abfragen und das Extrahieren sensibler Datenbankinformationen. Über 200.000 Websites sind betroffen. Administratoren sollten das Plugin umgehend aktualisieren oder entfernen.
Schwachstelle in n8n-Workflow-Automatisierung wird aktiv ausgenutzt
Eine Schwachstelle in der beliebten n8n-Workflow-Automatisierungsplattform wird aktiv ausgenutzt. Details sind begrenzt, aber Organisationen, die n8n betreiben, sollten ihre Installationen prüfen und Patches einspielen.
Datenpannen
Iranisch unterstützte Handala-Gruppe beansprucht massiven Wiper-Angriff auf Stryker
Die iranisch verknüpfte Hacktivistengruppe Handala behauptet, Daten von über 200.000 Systemen beim Medizintechnik-Riesen Stryker (NYSE: SYK, 25 Mrd. USD Jahresumsatz) gelöscht zu haben. Über 5.000 Mitarbeiter in Irland wurden nach Hause geschickt. Büros in 79 Ländern wurden Berichten zufolge geschlossen. Geräte wurden gelöscht, Anmeldeseiten mit Handalas Logo verunstaltet, und Mitarbeiter griffen auf WhatsApp-Kommunikation zurück. Die Gruppe wird über den Bedrohungsakteur Void Manticore mit dem iranischen MOIS in Verbindung gebracht. Der Angriff wurde als Vergeltung für einen Raketenangriff im Februar beansprucht.
Datenpanne bei Starbucks betrifft hunderte Mitarbeiter
Starbucks hat eine Datenpanne offengelegt, nachdem Bedrohungsakteure über Phishing-Angriffe Zugang zu Starbucks Partner Central-Mitarbeiterkonten erlangt hatten. Hunderte Mitarbeiter waren betroffen. Das Unternehmen untersucht den Umfang der offengelegten Daten.
Kanadischer Einzelhandelsriese Loblaw informiert Kunden über Datenpanne
Loblaw, Kanadas größter Einzelhändler, hat alle Kunden automatisch abgemeldet und Passwort-Zurücksetzungen erzwungen, nachdem eine Datenpanne entdeckt wurde. Der volle Umfang der kompromittierten Kundendaten wird noch untersucht.
Datenpanne bei Telus Digital gemeldet
Das kanadische Technologieunternehmen Telus Digital hat eine Datenpanne erlitten. Details bleiben begrenzt, da die Untersuchung andauert.
Ransomware
England Hockey von AiLock-Ransomware getroffen — 129 GB gestohlen
Die AiLock-Ransomware-Gruppe behauptet, 129 GB Daten von England Hockey gestohlen zu haben, das Feldhockey über 800+ Vereine und 150.000 registrierte Spieler verwaltet. AiLock ist eine relativ neue Gruppe, die Datenschutzrechtsverletzungen als Druckmittel in Verhandlungen einsetzt. Die Organisation arbeitet mit Strafverfolgungsbehörden und externen Spezialisten zusammen.
Aktive Bedrohungskampagnen
Chinesische APT-Gruppe greift südostasiatische Streitkräfte mit maßgeschneiderter Malware an
Palo Alto Unit 42 hat eine mit China verknüpfte Spionagekampagne (CL-STA-1087) aufgedeckt, die seit 2020 südostasiatische Militärorganisationen ins Visier nimmt. Die Angreifer nutzten maßgeschneiderte Malware-Familien AppleChris und MemFun, um Dokumente über militärische Fähigkeiten, Organisationsstrukturen und Informationen über westliche Militärkooperationen zu sammeln. Die Kampagne zeigt „strategische operative Geduld" und hochgradig gezielte Informationsgewinnung.
Storm-2561: Gefälschte Unternehmens-VPN-Seiten stehlen Firmen-Zugangsdaten
Microsoft verfolgt den Bedrohungsakteur Storm-2561, der gefälschte VPN-Clients verbreitet, die Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point und WatchGuard imitieren. Nutzt SEO-Poisoning, um gefälschte Download-Seiten in den Suchergebnissen zu platzieren, installiert den Hyrax-Infostealer zusammen mit einem überzeugenden gefälschten VPN-Anmeldebildschirm. Nach dem Diebstahl der Zugangsdaten leitet es die Opfer auf die echte Anbieterseite um — wodurch die Kompromittierung nahezu unsichtbar wird. Signiert mit einem widerrufenen legitimen Zertifikat.
Rust-basierte VENON-Banking-Malware greift 33 brasilianische Banken an
Ein neuer Rust-basierter Banking-Trojaner namens VENON zielt auf brasilianische Nutzer mit Zugangsdaten-stehlenden Overlays für 33 Banken. Er stellt eine Abkehr von traditioneller Delphi-basierter lateinamerikanischer Banking-Malware dar. Nutzt LNK-Hijacking, aktive Fensterüberwachung und Banking-Overlay-Logik ähnlich den Grandoreiro- und Mekotio-Familien.
FBI untersucht Malware-Verbreitung über Steam-Spiele
Das FBI sucht Opfer von acht bösartigen Steam-Spielen, die zur Verbreitung von Malware genutzt wurden. Die Behörde sammelt Informationen im Rahmen einer laufenden Untersuchung. Spieler, die die betroffenen Titel installiert haben, sollten ihre Systeme scannen.
Iranisch verknüpfte Hacker weiten Ziele auf US-Infrastruktur aus
Pro-iranische Hackergruppen greifen Ziele im Nahen Osten an und beginnen, US-Ziele zu sondieren, darunter Rüstungsunternehmen, Kraftwerke und Wasserwerke. Die Eskalation korreliert mit anhaltenden geopolitischen Spannungen und erhöht das Risiko von Angriffen auf kritische Infrastruktur.
Polens Nationales Zentrum für Kernforschung angegriffen
Polens NCBJ (Nationales Zentrum für Kernforschung) hat einen Cyberangriff auf seine IT-Infrastruktur erkannt und abgewehrt, bevor Schaden entstand. Der Angriff unterstreicht die fortgesetzte Bedrohung von Kern- und Energiesektor-Organisationen in Europa.
Strafverfolgungsmaßnahmen
Operation Synergia III: INTERPOL übernimmt 45.000 IPs, 94 Festnahmen
INTERPOLs „Operation Synergia III" — über 72 Länder von Juli 2025 bis Januar 2026 — hat 45.000 bösartige IPs in Sinkholes umgeleitet, 212 Geräte/Server beschlagnahmt, 94 Verdächtige verhaftet, 110 weitere werden ermittelt. In Macau identifizierten Ermittler 33.000+ Phishing-Seiten, die Banken und Casinos imitierten. Größte Verhaftungen in Bangladesch (40) und Togo (10).
SocksEscort-Proxy-Botnetz zerschlagen — 369.000 IPs in 163 Ländern
US-amerikanische und europäische Strafverfolgungsbehörden haben SocksEscort zerschlagen, einen kriminellen Proxy-Dienst, der seit 2020 Privat-Router in ein Botnetz eingebunden hatte. Der Dienst bot Zugang zu ~369.000 IP-Adressen in 163 Ländern, wobei im Februar 2026 noch fast 8.000 infizierte Router aktiv waren. Der Dienst warb mit „statischen Privat-IPs mit unbegrenzter Bandbreite" zur Umgehung von Spam-Sperrlisten.
Meta deaktiviert über 150.000 Konten hinter asiatischen Betrugszentren
Meta hat neue Schutztools eingeführt und mehr als 150.000 Konten deaktiviert, die Betrugszentren in Asien betrieben. Die Maßnahme zielt darauf ab, organisierte Betrugsoperationen im großen Maßstab zu unterbinden.
Branche & Tools
Bold Security und Onyx Security starten jeweils mit 40 Mio. USD Finanzierung
Bold Security nutzt KI, um Geräte in aktive Schutzagenten zu verwandeln, die Nutzeraktionen in Echtzeit verstehen. Onyx Security baut eine Steuerungsebene, die Organisationen hilft, autonome KI-Agenten zu überwachen und schnell einzusetzen. Beide kamen mit jeweils 40 Mio. USD aus dem Stealth-Modus — ein Signal für starkes Investoreninteresse an KI-nativen Sicherheitsplattformen.
Google zahlte 2025 17 Mio. USD an Bug-Bounty-Prämien
Googles Vulnerability Reward Program zahlte 2025 insgesamt 17 Millionen US-Dollar an 747 Sicherheitsforscher aus. Chrome-Schwachstellen brachten Forschern 3,7 Mio. USD ein, Cloud-Sicherheitslücken 3,5 Mio. USD.
🔮 KENSAI Analyse — Was das für Sie bedeutet
- Chrome JETZT patchen: Zwei aktiv ausgenutzte Zero-Days (CVE-2026-3909, CVE-2026-3910) — aktualisieren Sie umgehend auf 146.0.7680.75+ auf allen Endgeräten.
- Die iranische Bedrohungseskalation ist real: Der Stryker-Wiper-Angriff (200.000+ Geräte) ist die bisher größte iranisch verknüpfte destruktive Operation. Zusammen mit Sondierungen gegen US-Infrastruktur müssen Organisationen mit geopolitischer Exposition ihre Incident-Response-Pläne aktualisieren.
- VPN-Zugangsdatendiebstahl durch SEO-Poisoning: Storm-2561 imitiert alle großen VPN-Anbieter. Erzwingen Sie MFA für alle VPN-Zugänge und schulen Sie Mitarbeiter, Clients nur von verifizierten internen Quellen herunterzuladen — niemals aus Suchergebnissen.
- WordPress-Administratoren: Die SQLi-Schwachstelle im Ally-Plugin betrifft 200.000+ Websites. Prüfen Sie Ihre WordPress-Plugins und patchen oder entfernen Sie Ally umgehend.
- NIS2-Relevanz: Die Angriffe auf Polens Kernforschungszentrum und iranische Attacken auf kritische Infrastruktur bekräftigen das NIS2-Mandat zur Vorfallmeldung und Lieferkettensicherheit bei wesentlichen EU-Diensten.
- KI-native Sicherheitsfinanzierungswelle: 80 Mio. USD über zwei Stealth-Starts signalisieren, dass der Markt sich hin zur KI-Agentenaufsicht verschiebt — direkt relevant für KENSAIs Positionierung in der autonomen Sicherheitsbewertung.