Die in der Schweiz beheimatete Trisa AG ist als Gruppe im Bereich der Mund- (Zahnbürsten), Haar- (Bürsten) und Schönheitspflege unterwegs. Mir vorliegenden Berichten soll das Unternehmen Opfer der Gentlemen-Gruppe geworden sein, die die LYNX-Ransomware auf deren IT-Systemen installieren konnten. Die Webseite des Unternehmens meldet noch nichts. Weiterhin liegt mir noch ein Bericht von sysdiag vor, der zeigt, wie KI-gestützte Angriffe binnen 8 Minuten eine AWS-Instanz kompromittieren können. Ich fasse mal beide Themen in einem Sammelbeitrag zusammen.
Ransomware-Angriff auf die Trisa AG in der Schweiz?
Es liegen mir Hinweise vor, dass das in der Schweiz beheimatete Unternehmen Trisa AG Opfer der LYNX-Ransomware geworden sei. Bei der Lynx-Ransomware handelt es sich um eine hochentwickelte Malware-Bedrohung. Die Malware wird seit Mitte 2024 auf Ransomware-as-a-Service-Basis von verschiedenen Cyber-Gruppen eingesetzt und es sind über 20 Opfer der Lynx-Ransomware bekannt. Fortinet hat eine Übersicht über die Ransomware veröffentlicht.
Wer ist die Trisa AG?
Die Trisa-Gruppe ist ein Anbieter von Bürstenprodukten in den Bereichen Mund-, Haar- und Körperpflege mit Sitz in Triengen im Kanton Luzern. Die Trisa-Gruppe ist als Holding organisiert und besteht aus der Trisa AG (Zahnbürsten, Haarbüsten, Körperpflegeprodukte), Trisa Electronics AG (Elektrogeräte), Trisa Accessoires AG (Haarschmuck, Modeschmuck), Ebnat AG (Interdentalpflege, Raumpflege) und der Vertriebsgesellschaft Trisa Bulgaria GmbH.
Die Gruppe beschäftigt laut Wikipedia rund 1100 Mitarbeiter und erwirtschaftete 2020 einen Umsatz von 215,2 Millionen Schweizer Franken. Produkte von Trisa werden auf allen Kontinenten in über 80 Ländern vertrieben. Trisa gehört zu den weltweit führenden Unternehmen in diesem Bereich.
Berichte über Ransomware-Vorfall
Die Nacht sind mir erste Meldungen aus Sicherheitskreisen untergekommen (siehe nachfolgender BlueSky-Post), dass die Schweizer Trisa AG Opfer der LYNX-Ransomware geworden sei.
Die Meldung geht wohl auf eine Ankündigung der "The Gentlemen"-Ransomware-Gruppe zurück, die am 4. Februar 2026 angekündigt hat, dass man die Trisa AG mit der LYNX-Ransomware infiziert und 1 Terabyte an Daten abgezogen habe. Die Ransomware-Gruppe will diese Daten binnen 7 Tagen veröffentlichen.
Ich habe auf der Webseite der Trisa AG geschaut, dort aber keinen Hinweis auf einen Cybervorfall finden können. Daher ist unklar, ob und welcher Bereich der Trisa-Holding überhaupt betroffen sein könnte. Derzeit findet sich auch, abseits des obigen Posts von FalconFeeds.io (eigentlich vertrauenswürdig) finden sich nur zwei weitere Quelle, die aber auch nur die "Selbstbezichtigung" der Ransomware-Gruppe wiedergeben.
KI-gestützte Angriffe auf AWS-Instanzen in 8 Minuten
Sicherheitsforscher von sysdiag beschreiben im Beitrag AI-assisted cloud intrusion achieves admin access in 8 minutes einen offensiven Cloud-Angriff auf eine AWS-Umgebung, den sie am 28. November 2025 beobachtet haben.
Den Angreifern gelang es, in weniger als 10 Minuten vom ersten Zugriff zu Administratorrechten zu gelangen. Der Angriff zeichnete sich nicht nur durch seine Geschwindigkeit aus, sondern auch durch mehrere Indikatoren, die darauf hindeuten, dass der Angreifer während der gesamten Operation große Sprachmodelle (LLMs) einsetzte, um die Aufklärung der Angriffsvektoren zu automatisieren, bösartigen Code zu generieren und Entscheidungen in Echtzeit zu treffen.
Der Angreifer verschaffte sich über Anmeldedaten, die er in öffentlichen Simple Storage Service (S3)-Buckets gefunden hatte, ersten Zugriff auf das AWS-Konto des Opfers. Anschließend erweiterte er seine Berechtigungen durch Lambda-Funktionscode-Injektion, bewegte sich lateral über 19 einzigartige AWS-Prinzipale, missbrauchte Amazon Bedrock für LLMjacking und startete GPU-Instanzen für das Modelltraining. Das Sysdig TRT analysierte die gesamte Angriffskette, identifizierte Erkennungsmöglichkeiten und stellte Empfehlungen zur Schadensbegrenzung zusammen. Die Erkenntnisse sind im oben verlinkten Beitrag detailliert aufgeführt.
MVP: 2013 – 2016
Da weiß man mal wieder nicht, was man sagen soll… So dermaßen schnell drin gewesen.
Wie war das: "Kommt in die Cloud…, alles wird besser". Vielleicht ohne die bösen Buben?