Towerstream: Qilin-Ransomware trifft US-Telekom-Anbieter

Die Qilin-Gruppe hat offenbar einen wichtigen Breitbandanbieter gekapert. Was steckt dahinter?

Towerstream Corporation, ein spezialisierter Anbieter für drahtlose Business-Internetverbindungen in den USA, ist nach Angaben von Sicherheitsforschern Opfer eines Cyberangriffs der berüchtigten Qilin-Ransomware-Bande geworden. Die Täter veröffentlichten das Unternehmen am frühen Samstagmorgen auf ihrer Leak-Plattform im Darknet – ein eindeutiges Zeichen dafür, dass sensible Daten erbeutet wurden.

Für die Attacke typisch: Die Cyberkriminellen setzen auf doppelte Erpressung. Einerseits verschlüsseln sie kritische Systeme und legen den Betrieb lahm, andererseits drohen sie mit der Veröffentlichung gestohlener Informationen wie Kundenlisten, Finanzdaten oder Netzwerkplänen. Towerstream selbst hat sich bislang nicht offiziell zu dem Vorfall geäußert.

Die Wahl des Ziels ist strategisch: Towerstream betreibt Hochgeschwindigkeits-Funkverbindungen für Geschäftskunden in wirtschaftlich bedeutenden Metropolen wie New York, Boston, Los Angeles, Chicago und Miami. Tausende Unternehmen sind auf diese Verbindungen angewiesen – sei es als primäre Internetanbindung oder als Backup-Lösung.

Ein erfolgreicher Angriff auf einen spezialisierten Provider kann nicht nur ein einzelnes Unternehmen treffen, sondern ganze Zulieferketten und zahlreiche Geschäftskunden gleichzeitig lahmlegen. Unser kostenloses E‑Book richtet sich an Geschäftsführer und IT-Verantwortliche und zeigt konkrete Sofortmaßnahmen: wie Sie Logs effektiv prüfen, Backup- und Redundanzstrategien umsetzen, Lieferantenrisiken bewerten und erste Gegenmaßnahmen auch mit begrenztem Budget einleiten. Enthalten: Checklisten und praxisnahe Prioritäten für den Ernstfall. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

„Ein Angriff auf einen spezialisierten Provider wie Towerstream erzeugt enormen Druck”, erklärt Sarah Jenkins, Sicherheitsanalystin bei CyberWatch Global. „Die Störung betrifft nicht nur das Unternehmen selbst, sondern gefährdet die Konnektivität zahlreicher nachgelagerter Geschäftskunden in einigen der wirtschaftlich wichtigsten Städte des Landes.”

Die Gefahr geht dabei über den direkten Schaden hinaus: ISPs und Managed Service Provider sind besonders attraktive Ziele, weil sie Zugang zu mehreren Kundensystemen aggregieren. Im schlimmsten Fall könnte ein erfolgreicher Einbruch den Angreifern Zugang zu den Netzwerken der Towerstream-Kunden verschaffen – ein klassisches Supply-Chain-Szenario.

Qilin: Rekordjahr der Erpresser

Der Angriff reiht sich nahtlos in Qilins aggressive Kampagne 2025 ein. Die mutmaßlich aus Russland operierende Ransomware-as-a-Service-Gruppe hat in diesem Jahr bereits über 700 Opfer auf ihrer Leak-Seite gelistet – mehr als die meisten anderen bekannten Erpresser-Banden.

Qilin konzentriert sich gezielt auf Branchen, in denen Ausfallzeiten existenzbedrohend sind: Gesundheitswesen, Bildungseinrichtungen und eben kritische Infrastruktur. Die Täter verschaffen sich typischerweise über gekaufte Zugangsdaten oder ungepatchte VPN-Schwachstellen Zugang zu Netzwerken, bewegen sich lateral bis zu Domain-Controllern und setzen dann ihre in Rust programmierte Ransomware ein.

Allein im Oktober und November trafen Qilins Attacken mehrere Managed Service Provider und Logistikunternehmen. Die aktuelle Attacke auf Towerstream fügt sich perfekt in dieses Muster ein.

Was jetzt zu tun ist

Für Towerstream-Geschäftskunden heißt es jetzt: Wachsamkeit erhöhen. IT-Verantwortliche sollten ihre Netzwerk-Logs auf ungewöhnlichen Datenverkehr überprüfen und sicherstellen, dass alternative Verbindungswege funktionieren.

„Das ist eine deutliche Erinnerung daran, dass Lieferantenrisiko-Management kein optionales Extra ist”, betont Jenkins. Ob tatsächlich Kundendaten kompromittiert wurden, bleibt abzuwarten – doch allein die Möglichkeit sollte Alarmglocken läuten.

Die kommenden Tage dürften entscheidend sein: Gibt Towerstream nach und zahlt? Oder veröffentlicht Qilin erste „Beweispakete” mit gestohlenen Daten, um den Druck zu erhöhen? Für die Geschäftskunden des Providers beginnt ein nervenzehrendes Warten auf offizielle Stellungnahmen und Antworten auf die drängendste Frage: Sind auch unsere Daten betroffen?

PS: Sie wollen Ihre IT-Sicherheit schnell und praxisnah verbessern, ohne teure Neueinstellungen? Dieses Gratis-E‑Book bündelt wirksame Maßnahmen für kleine und mittlere Unternehmen: Anti‑Phishing-Strategien, Zugangskontrollen, Notfallpläne, Lieferanten‑Bewertung und die wichtigsten Pflichten aus neuen Regelwerken. Mit sofort anwendbaren Checklisten für den Krisenfall und Prioritätenlisten für die nächsten 48 Stunden. Jetzt Gratis-E-Book zur Cyber-Security sichern