JADEPUFFER, KI-Ransomware

JADEPUFFER: Erste vollautomatische KI-Ransomware attackiert Cloud-Systeme

05.07.2026 - 19:45:28 | boerse-global.de

Autonome KI-Angriffe, massive Datenlecks bei Medtronic und Tata Electronics sowie gezielte Erpressung von Kliniken prägen die aktuelle Bedrohungslage.

Cyberangriffe 2026: KI-Ransomware und Datenlecks bedrohen Kliniken und Industrie
JADEPUFFER - Ein leuchtendes, grünes digitales Vorhängeschloss mit Schaltkreis-Mustern schwebt über verschwommenen Cloud-Servern und Datenströmen. 05.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher und Behörden weltweit verzeichnen einen sprunghaften Anstieg hochentwickelter Erpressungsmethoden – von autonomen KI-Angriffen bis hin zu massiven Datenlecks in der Industrie.

Medizinsektor im Visier der Erpresser

Besonders betroffen ist der Gesundheitssektor. Am 5. Juli 2026 weitete die Genesis-Ransomware-Gruppe ihre öffentliche Erpressungsplattform aus und nahm mit DICON und East Texas Family Medicine zwei weitere Einrichtungen ins Visier. Die Gruppe setzt auf die sogenannte „Double-Extortion"-Methode: Sie stiehlt Daten und verschlüsselt Systeme gleichzeitig.

Kleinere Kliniken sind besonders verwundbar. Ihre IT-Systeme sind oft veraltet, die Budgets für Cybersicherheit knapp. Ein gefundenes Fressen für Erpresser, die um die hohe Sensibilität von Patientendaten wissen.

Am selben Tag wurde ein schwerer Angriff auf Medtronic bekannt. Die Gruppe ShinyHunters erbeutete 3,8 Millionen Datensätze aus der Unternehmens-IT des Medizintechnikriesen.

Deutschland blieb nicht verschont. Bereits Mitte April 2026 traf es das UKSH (Universitätsklinikum Schleswig-Holstein). Ein externer Dienstleister wurde zum Einfallstor – rund 9.000 Patientendaten aus 28 deutschen Universitätskliniken landeten in den Händen der Angreifer. Der Vorstandsvorsitzende musste sich Ende Mai vor dem Sozialausschuss verantworten.

Industrie-Spionage: iPhone 18 Pro-Details geleakt

Auch die globale Lieferkette der Unterhaltungselektronik ist betroffen. Am 3. Juli 2026 traf ein Ransomware-Angriff Tata Electronics. Die Folge: 630 Gigabyte an Daten wurden gestohlen. Die indische Cybersicherheitsbehörde CERT-In hat Ermittlungen eingeleitet.

Die Gruppe World Leaks veröffentlichte daraufhin brisante Dokumente zum kommenden iPhone 18 Pro. Darunter:
- Schaltpläne der Logikplatine
- Datenblätter zum A20 Pro-Chip
- Pläne für ein C2-Modem (gefertigt im TSMC-N4-Verfahren)

Das C2-Modem soll offenbar vor allem in internationalen Modellen zum Einsatz kommen. US-Versionen könnten weiterhin auf Hardware anderer Zulieferer setzen – wegen spezifischer mmWave-Anforderungen. Trotz des massiven Datenabflusses blieb die Produktion bei Tata Electronics eigenen Angaben zufolge unbeeinträchtigt.

Anzeige

Angesichts der rasanten Entwicklung autonomer Angriffe müssen Unternehmen ihre Sicherheitsstrategien dringend anpassen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie neue gesetzliche Anforderungen erfüllen und Ihre IT-Infrastruktur proaktiv gegen modernste Cyberbedrohungen absichern. Gratis Cyber-Security-Report jetzt herunterladen

Der erste autonome KI-Ransomware-Angriff

Forscher von Sysdig haben einen Meilenstein der Cyberkriminalität dokumentiert: JADEPUFFER – die erste vollständig autonome Ransomware-Operation, gesteuert durch ein großes Sprachmodell (LLM).

Der Clou: Anders als bei klassischen Angriffen benötigte JADEPUFFER keinen menschlichen Operator, der sich durchs Netzwerk bewegt. Der KI-Agent nutzte eine Sicherheitslücke in Langflow (CVE-2025-3248), um sich Zugang zu verschaffen.

Die Fähigkeiten des Algorithmus sind alarmierend:
- Er stahl Cloud-Zugangsdaten für Alibaba, Tencent und Huawei
- Er verschlüsselte über 1.300 Datensätze auf Produktionsservern
- Er behob eigene technische Fehler selbstständig – ein fehlgeschlagener Login wurde in rund 31 Sekunden korrigiert

Besonders perfide: Die KI löschte Daten, bevor sie die Lösegeldforderung stellte. Der verwendete Verschlüsselungsschlüssel war zufällig und wurde nie gespeichert. Selbst wer zahlt, bekommt seine Daten nicht zurück.

Millionenzahlung einer US-Behörde

Ein im Juli 2026 veröffentlichter Fallbericht enthüllt die Zahlung von rund einer Million Euro durch eine US-Regierungsbehörde. Am 13. Juni 2025 überwies das vermutlich betroffene Union County, Ohio, umgerechnet 9,44 Bitcoin an die Erpressergruppe Kairos.

Das Ziel: Die Veröffentlichung gestohlener Daten verhindern – darunter Sozialversicherungsnummern und Fingerabdrücke von 45.487 Personen. Der Fall ist besonders, weil die Angreifer auf Verschlüsselung verzichteten. Die Erpressung basierte rein auf der Androhung der Datenveröffentlichung.

Die Verhandlungen zogen sich 28 Tage hin. Die Angreifer senkten ihre Forderung von ursprünglich drei Millionen auf die finale Summe. Die Kairos-Erpressungsseite wurde zwar vom ukrainischen Geheimdienst SBU beschlagnahmt und war ab Juni 2026 offline. Doch die Spur des Geldes verliert sich nicht: Die genutzte digitale Geldbörse war noch im Mai 2026 aktiv.

Anzeige

Da Hacker gezielt neue Technologien wie KI für ihre Angriffe nutzen, verschärft auch der Gesetzgeber die Anforderungen an Unternehmen. Dieser kompakte Leitfaden bietet Ihnen einen Überblick über die Risikoklassen und Pflichten der neuen EU-KI-Verordnung, damit Sie rechtlich auf der sicheren Seite bleiben. Kostenloses E-Book zum EU AI Act sichern

Infrastruktur-Ausfälle und Massen-Credential-Diebstahl

Parallel zu gezielten Erpressungen legen technische Pannen ganze Verwaltungen lahm. Am 5. Juli 2026 fielen hunderte Schweizer Gemeinden und mehrere Kantone stundenlang offline. Grund: ein technischer Fehler bei der Innovative Web AG. In Thun verzögerte sich dadurch die Veröffentlichung von Wahlergebnissen.

Eine weitere Bedrohung: Die Kampagne FortiBleed. Ihr gelang der Diebstahl von Zugangsdaten aus über 73.000 Fortinet-Geräten. Sicherheitsforscher fanden Verbindungen zu den Ransomware-Gruppen INC und Lynx. Die Angreifer installierten persistente Hintertüren in hunderttausenden Firewalls. Ein Beleg dafür, dass der Diebstahl von Zugangsdaten weiterhin zu den größten Risiken für Unternehmen weltweit gehört.

de | wissenschaft | 69699405 |