ShinyHunters-Angriffe: 275 Millionen Canvas-Nutzer betroffen

Betroffen sind Einzelhandel, Spieleentwicklung und der Bildungssektor – mit potenziell Hunderten Millionen gestohlener Datensätze. Die Attacken reihen sich ein in eine weltweite Welle von Ransomware-Angriffen und staatlich gestützter Spionage.

Die massiven Datenlecks bei internationalen Konzernen zeigen, wie verwundbar Unternehmen gegenüber gezielten Angriffen sind. Ein kostenloses E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt, wie Sie Sicherheitslücken effektiv schließen. Gratis-E-Book: Cyber-Bedrohungen abwenden und das eigene Unternehmen schützen

7-Eleven und Rockstar Games im Visier

Die Einzelhandelskette 7-Eleven hat einen unbefugten Zugriff auf ihre internen Systeme bestätigt. Nach Angaben des Unternehmens wurde der Einbruch am 8. April 2026 entdeckt, betroffene Kunden wurden ab dem 1. Mai informiert. ShinyHunters behauptet, über 600.000 Salesforce-Datensätze abgegriffen zu haben.

Sicherheitsdienste beziffern die Zahl der kompromittierten Konten auf rund 185.300. Das geleakte Datenpaket umfasst 9,4 Gigabyte – mit Namen, E-Mail-Adressen, Geburtsdaten, Anschriften und Telefonnummern. Der Vorfall soll sich ereignet haben, nachdem 7-Eleven sich geweigert hatte, auf Lösegeldforderungen einzugehen.

Parallel dazu meldet die Gruppe einen massiven Angriff auf Rockstar Games. Angeblich wurden 80 Millionen Datensätze zu den Spielen GTA Online und Red Dead Online gestohlen. Die Angreifer sollen über eine kompromittierte Drittanbieter-Plattform namens Anodot eingedrungen sein, die mit der Snowflake-Cloud-Umgebung verbunden war. Die gestohlenen Daten enthalten Details zu Spielerverhalten, Kaufmustern und internen Umsatzzahlen.

Bildungssektor erschüttert: Canvas-Leak betrifft Millionen

Der Bildungssektor erlebt einen der größten Datenlecks der jüngeren Geschichte. Instructure, der Betreiber des weit verbreiteten Lernmanagementsystems Canvas, bestätigte einen Cyberangriff, der potenziell 275 Millionen Nutzer betrifft. ShinyHunters gibt an, 3,65 Terabyte an Daten abgesaugt zu haben.

Die gestohlenen Informationen umfassen Namen von Schülern und Lehrern, E-Mail-Adressen, Schülerausweisnummern und interne Nachrichten. Finanzdaten und Passwörter sollen nicht betroffen sein – dennoch hat der Vorfall bereits operative Konsequenzen. In North Carolina sperrte das Bildungsministerium den Zugang zu Canvas für alle K-12-Schulen als Vorsichtsmaßnahme.

International sind auch mehrere brasilianische Bildungseinrichtungen betroffen, darunter ESPM, Estácio, UNIP, Cásper Líbero und EBAC. Experten vermuten, dass die Angreifer kompromittierte API-Schlüssel für den massiven Datentransfer genutzt haben.

Ransomware und Spionage: Die Bedrohungslage eskaliert

Die Aktivitäten von ShinyHunters sind Teil eines größeren Trends. Erst am 25. Mai 2026 meldeten Bedrohungsanalysten neue Opfer der Ransomware-Gruppen Rhysida und DragonForce. Rhysida traf die IDS Group, DragonForce erweiterte seine Opferliste um die Wirtschaftsprüfungsgesellschaft ggroupcpas.com und das Unternehmen SPH Value.

Immer häufiger setzen Cyberkriminelle auf psychologische Manipulationstaktiken, um Zugriff auf Unternehmensnetzwerke zu erlangen. Dieses kostenlose Anti-Phishing-Paket unterstützt Unternehmen dabei, ihre Mitarbeiter zu sensibilisieren und die Hacker-Abwehr in vier konkreten Schritten zu stärken. Kostenlosen Anti-Phishing-Leitfaden jetzt herunterladen

Parallel dazu hat die russlandnahe Gruppe Secret Blizzard (auch als Turla bekannt) ihre Schadsoftware "Kazuar" weiterentwickelt. Das Backdoor-Programm wurde zu einem modularen Spionage-Ökosystem ausgebaut. Die neue Architektur macht die Aktivitäten für Sicherheitssoftware besonders schwer erkennbar. Hauptziele sind Regierungsbehörden, Verteidigungsunternehmen und Forschungseinrichtungen in Europa, Zentralasien und der Ukraine.

Auch nordkoreanische Akteure der Lazarus Group sind aktiv. Sie setzen einen neuen, speicherresidenten Trojaner namens RemotePE ein, der gezielt Finanz- und Kryptowährungsunternehmen angreift. Die Malware wird über eine mehrstufige Lieferkette verbreitet, die Social Engineering über Telegram nutzt. RemotePE arbeitet vollständig im Arbeitsspeicher, um der Erkennung zu entgehen, und kann Dateien dauerhaft löschen.

Lieferketten-Angriff und kritische Schwachstellen

Am 24. Mai 2026 entdeckten Forscher die "TrapDoor"-Malware-Kampagne. In 34 Paketen der Entwickler-Plattformen npm, PyPI und Crates wurde schädlicher Code eingeschleust. Die Malware zielt speziell auf Entwickler im Bereich Künstliche Intelligenz und Kryptowährung ab – sie stiehlt Wallet-Zugangsdaten, GitHub-Tokens und SSH-Schlüssel.

Zudem wird eine kritische Schwachstelle im Ghost CMS aktiv ausgenutzt. Die Sicherheitslücke CVE-2026-26980 hat einen Schweregrad von 9,4. Über 700 Websites sind betroffen, darunter Domains von Harvard, Oxford und DuckDuckGo. Ein Patch ist seit dem 19. Februar 2026 verfügbar – die massive Ausnutzung zeigt, wie schwer sich große Organisationen mit dem Patch-Management tun.

Telekommunikationsriesen gründen gemeinsames Abwehrzentrum

Als Reaktion auf die zunehmenden Bedrohungen und den Aufstieg KI-gestützter Angriffe haben führende US-Telekommunikationsunternehmen das C2 ISAC (Information Sharing and Analysis Center) gegründet. Die gemeinnützige Organisation umfasst AT&T, Verizon, T-Mobile und Comcast. Geleitet wird sie von Valerie Moon, die zuvor beim FBI und der US-Cybersicherheitsbehörde CISA tätig war. Ziel ist der beschleunigte Austausch von Bedrohungsinformationen zum Schutz kritischer Infrastruktur.

Ausblick: Die Lage bleibt angespannt

Das Wiedererstarken von ShinyHunters und die gleichzeitigen Aktivitäten mehrerer staatlich gestützter Gruppen deuten auf eine phase erhöhter Risiken hin. Der Fokus auf Drittanbieter-Integrationen wie API-Schlüssel und Cloud-Verbindungen zeigt: Unternehmen müssen ihre Lieferkettensicherheit dringend überdenken und externe Zugriffe regelmäßig auditieren.

Während das C2 ISAC seine Arbeit aufnimmt, verschiebt sich der Schwerpunkt in der Cybersicherheit hin zu kollektiver Verteidigung und schnellem Informationsaustausch. Die laufenden Erpressungskampagnen gegen 7-Eleven und Canvas zeigen jedoch: Einmal geleakte Archive kursieren noch lange nach dem eigentlichen Einbruch in den dunklen Ecken des Internets. Betroffene sollten ihre digitalen Identitäten weiterhin streng überwachen.

de | wissenschaft | 69420403 |