Ransomware-Angriffe: Von 4.900 auf 7.200 Fälle – KI treibt Welle

Internationale Ermittler haben das Glassworm-Botnetz zerschlagen – ein Netzwerk, das gezielt Softwareentwickler angriff. Der Fall zeigt: Gestohlene Zugangsdaten bleiben die größte Sicherheitslücke der digitalen Welt.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. 4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste?

Trojanische Erweiterungen im Visier

Anfang der Woche gelang einem Bündnis aus CrowdStrike, Google und Shadowserver die Zerschlagung der Kommando-Infrastruktur von Glassworm. Seit Anfang 2025 war das Botnetz aktiv und vergiftete über 300 GitHub-Repositories mit schädlichem Code. Die Angreifer nutzten manipulierte Visual-Studio-Code-Erweiterungen sowie präparierte npm- und Python-Pakete.

Die Infrastruktur des Botnetzes war ungewöhnlich vielfältig: Die Betreiber – Sicherheitsforscher vermuten eine russische Gruppe – setzten auf die Solana-Blockchain, BitTorrent, Google Kalender und verschiedene virtuelle Server. Insgesamt identifizierten die Ermittler vier verschiedene Kommunikationskanäle. Noch infizierte Systeme werden nun über eine bestimmte IP-Adresse (164.92.88[.]210) überwacht, um weitere Opfer zu identifizieren.

Lieferketten unter Beschuss

Die Verwundbarkeit der Software-Lieferkette zeigte sich auch bei einem anderen Vorfall: Angreifer kompromittierten Zugangsdaten des Trivy-Sicherheitsscanners und schleusten manipulierte Versionen des Tools auf Docker Hub. Die als TeamPCP bekannte Gruppe setzte dabei einen Wurm ein, der gezielt iranische Systeme angriff.

Noch einen Schritt weiter geht eine neue Angriffsmethode namens SymJack, die Forscher von Adversa AI entdeckten. Sie nutzt aus, wie KI-Code-Assistenten mit Repositories umgehen: Manipulierte symbolische Links registrieren schadhafte Server. Die Methode funktionierte gegen mehrere bekannte KI-Tools, darunter GitHub Copilot CLI und Gemini CLI. Die Entwickler von Claude Code haben bereits reagiert und ihre Plattform gehärtet.

Erst kürzlich identifizierten Sicherheitsforscher zudem eine kritische Lücke (CVE-2026-5426) im Lernmanagementsystem KnowledgeDeliver. Die Schwachstelle erlaubt Code-Ausführung ohne Authentifizierung und wurde bereits als Zero-Day-Exploit genutzt, um Webshells und Hintertüren zu installieren.

Ransomware auf Rekordkurs

Die Bedrohungslage verschärft sich rasant. Die Zahl der Ransomware-Angriffe stieg von rund 4.900 im Jahr 2024 auf über 7.200 im Jahr 2025. In etwa 75 Prozent der Fälle gelang es den Angreifern, Daten zu stehlen. Große Sprachmodelle (LLMs) treiben diese Entwicklung an: Sie verbessern die Qualität von Phishing-Nachrichten und beschleunigen die Aufklärungsphase von Angriffen erheblich.

Angesichts steigender Cyberangriffe und neuer gesetzlicher Anforderungen müssen Unternehmen heute proaktiv handeln. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um sich wirksam abzusichern. Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu?

Phishing bleibt mit 85 Prozent aller Incident-Response-Fälle die häufigste Einfallspforte. Eine Analyse von IBM X-Force vom 25. Februar 2026 zeigt: Bei 56 Prozent der Hunderttausenden überwachten Sicherheitslücken ist keine Authentifizierung für den Missbrauch nötig. Staatlich gesteuerte Gruppen setzen zudem zunehmend Spezialwerkzeuge ein. Die iranische Gruppe MuddyWater kompromittierte im ersten Quartal 2026 neun Organisationen in neun Ländern – durch direkten Diebstahl von Cookies und Passwörtern aus Browsern.

Das Ende der alten Sicherheit

Die Antwort darauf: Das Weiße Haus hat seine digitale Infrastruktur nach dem Zero-Trust-Prinzip modernisiert. Hardware-Sicherheitsschlüssel sind nun Pflicht, Netzwerke werden mikro-segmentiert. Regierungsbehörden setzen verstärkt auf PKI-basierte Authentifizierung – einen Schutz, der gegen klassisches Phishing immun ist.

Sicherheitsexperten sind sich einig: Herkömmliche Multi-Faktor-Authentifizierung (MFA) reicht nicht mehr aus. Angreifer haben gelernt, Einmalpasswörter abzufangen und Sitzungstoken zu stehlen. Aktuelle Kampagnen zielen auf Microsoft-365-Nutzer mit KI-generierten E-Mails, die Sicherheitsgateways umgehen und MFA-Token abgreifen.

Die Branche empfiehlt daher den Umstieg auf die Standards FIDO2 und WebAuthn, die hardwaregestützte Identitätsprüfung bieten. Unternehmen sollen Identity Security Posture Management (ISPM) einführen und sich in Richtung passwortloser Umgebungen bewegen. Denn nur wer das primäre Ziel der Angreifer eliminiert, hat eine Chance im digitalen Wettrüsten.

de | wissenschaft | 69429248 |