Die letzten Tage wurden ja verschiedene erfolgreiche Cyberangriffe auf Unternehmen und Organisationen bekannt. Die IT der Partei "Die Linke" wurde mutmaßlich von der Gruppe Qilin angegriffen. Auch das Finanzministerium der Niederlande musste einen Cyberangriff auf seine IT-System eingestehen. Da durften auch die IT-Systeme der EU-Kommission nicht in der Liste der erfolgreichen Cyberangriffe fehlen. Nachfolgend ein Abriss diverser Cyberangriffe, die die letzten Tage bekannt wurde, angereichert mit weiteren Informationen über IT-Fehler wie bei der Lloyds-Bank.
Cyberangriff auf Die Linke
Am vergangenen Donnerstag, den 26. März 2026, wurde das IT-Netzwerk der Partei Die Linke Ziel eines Cyberangriffs. In der veröffentlichten Pressemeldung heißt es, dass die Partei an diesem Tag einen Cyberangriff feststellte und sofort reagierte. Teile der IT-Infrastruktur wurden zur Schadensbegrenzung vorsorglich vom Netz genommen und die Mitarbeiter und Mitarbeiterinnen der der Bundesgeschäftsstelleüber notwendige Maßnahmen informiert. Zeitgleich sei eine Warnung durch Sicherheitsbehörden erfolgte . Die Partei habe umgehend Strafanzeige erstattet.
Nach derzeitigen Erkenntnissen zielen die Täter darauf ab, sensible Daten aus dem inneren Bereich der Parteiorganisation sowie personenbezogene Informationen von Personen aus der Parteizentrale zu veröffentlichen. Ob und in welchem Umfang dies gelungen ist, lässt sich laut Mitteilung nicht beurteilen. Ein entsprechendes Risiko besteht jedoch. Die Mitgliederdatenbank der Partei ist nicht betroffen. Den Tätern gelang es nicht Mitgliederdaten zu erbeuten. Die Partei teilte darüber hinaus mit, dass "uns Hinweise vorliegen", dass es sich um einen Ransomware-Angriff der Hackergruppe Qilin handelt. Das ist eine mutmaßlich russischsprachige Cybergruppe, deren Aktivitäten sowohl finanziell als auch politisch motiviert sein können.
Cyberangriff auf niederländisches Finanzministerium
Das niederländische Finanzministerium hat am 23. März 2026 einen Cyberangriff auf interne Systeme in Den Haag bestätigt. Erste verdächtige Aktivitäten waren bereits am 19. März aufgefallen, woraufhin die Behörde zentrale Mitarbeiterzugänge sperrte und betroffene Plattformen vorübergehend abschaltete. Betroffen waren vor allem Beschäftigte im Politikressort, deren Arbeitsabläufe ins Stocken gerieten. Ob Angreifer personenbezogene Daten kopierten, ist noch unklar.
Wer die Tätergruppe war, ist mir bislang unbekannt. Steuer‑, Zoll‑ und Leistungsdienste blieben dank getrennter IT‑Infrastrukturen funktionsfähig. Auch scheint es keinen Zugriff auf Steuerdaten gegeben zu haben. Die Kollegen von Bleeping Computer haben vor einer Woche in diesem Artikel berichtet, dass das Finanzministerium den Angriff bestätigt habe. Dieser Kommentar im Blog geht mutmaßlich ebenfalls auf den Vorfall ein.
EU-Kommission gehackt
Auch die IT-Systeme der EU-Kommission wurden wohl erfolgreich durch die Gruppe ShinyHunters angegriffen. Der Gruppe gelang ein Zugriff auf die Amazon Cloud Infrastruktur der Kommission, so dass sie insgesamt 350 GB an Daten, darunter E-Mails, Datenbanken und Verträge, abziehen konnten.
Der Vorfall ist von der EU-Kommission bestätigt worden, wobei die offiziellen Verlautbarungen den Vorfall herunterspielen. Die Kollegen von Bleeping Computer haben hier einige Details zusammen getragen.
E-Mail-Postfach des FBI-Direktors gehackt
Dann gab es noch die Meldung, dass das E-Mail-Postfach des FBI-Direktors Kash Patel gehackt wurde. Die Angreifer haben Inhalte des Postfachs (Mails, Fotos etc.) veröffentlicht. Verantwortlich ist die dem Iran zugeordnete Hackergruppe Handala, die in den letzten Wochen einige Hacks reklamierte. Das FBI hat den Hackerangriff bestätigt, wie Bleeping Computer hier schreibt, und erklärt, dass die gestohlenen Daten nicht aktuell seien und keine Regierungsdaten enthielten.
Trend Micro zu Ransomware-Trends
Trend Micros Geschäftsbereich Trend AI schreibt dazu, dass solche Vorfälle erneut zeigen, dass politische Organisationen in Deutschland (und natürlich in Europa) zunehmend im Fokus professionell agierender Angreifer stehen – nicht nur wegen sensibler personenbezogener Daten, sondern auch wegen des potenziellen Einflusses auf Kommunikation, interne Abläufe und öffentliche Wahrnehmung. Im Blog-Beitrag Ransomware Spotlight beleuchtet TrendAI die Aktivitäten dieser und anderer Gruppierungen. TrendAI schreibt, dass sich die Agenda von Qilin in kurzer Zeit zu einer der aktivsten und gefährlichsten Ransomware-Operationen entwickelt habe. Die Gruppe setzt dabei auf fortschrittliche Techniken, plattformübergreifende Varianten sowie Allianzen mit anderen bedeutenden Bedrohungsgruppen.
- Die Gruppe hat ihre Malware technisch stark weiterentwickelt: von Go-basierten Builds mit Affiliate-„Customizing" hin zu Rust-Varianten sowie Windows-, Linux- und ESXi-Unterstützung; in jüngeren Kampagnen kamen PowerShell-Tools für Ausbreitung und Deployments in VMware vCenter/ESXi-Umgebungen hinzu.
- 2024/2025 wurde eine deutliche operative Expansion beobachtet, u.a. durch zusätzliche Loader (SmokeLoader, NETXLOADER) und Defense Evasion wie BYOVD; teils erfolgte die Ausbringung von Linux-Payloads über legitime Remote-Management-Tools, was die Flexibilität der Operation unterstreicht.
- Agenda betreibt eine eigene Tor-basierte Leak-Site zur Beweisführung des Einbruchs und zur Eskalation des Drucks (Countdowns, gestaffelte Datenveröffentlichungen); die Lösegeldforderungen variieren stark und erreichen bei großen Organisationen häufig Millionenhöhen.
- Die Bedrohung ist breit branchenübergreifend, mit auffälligen Schwerpunkten bei Manufacturing, Healthcare und Technology; 2025 wurde Agenda zu einer der produktivsten Ransomware-Operationen mit nahezu 1.400 veröffentlichten Opfern und einem starken YoY-Anstieg gegenüber 2024.
TrendAI™ beobachtet zudem eine zunehmende Vernetzung: u.a. Überschneidungen/Bezüge zu weiteren Akteuren (z.B. Einsatz durch Moonstone Sleet in limitierten Operationen, vermutete Affiliate-Migrationen nach Störungen anderer RaaS, sowie eine angekündigte Allianz mit DragonForce und LockBit). Das alles ist ein Hinweis auf geteilte Ressourcen, Taktiken und Infrastruktur.
Das aggressive Double-Extortion-Modell und die wachsende Zahl an Opfern in kritischen Branchen machen Agenda zu einem ernsthaften Unternehmensrisiko, das proaktive Erkennung und Abwehrmaßnahmen erfordert.
Lloyds Bank IT-Fehler betraf eine halbe Million Kunden
Zum 13. März 2026 hatte ich den Beitrag Großbritannien: Wenn Online-Banking bei der Lloyds-Gruppe fremde Konten zeigt hier im Blog. Bei Banken der britischen Lloyds-Gruppe spielte sich am 12. März 2026 ein absolutes Drama ab. Bankkunden bekamen ihn ihren Banking-Apps bei der Benutzeranmeldung plötzlich fremde Bankkonten zu sehen. Der Betreiber hat den Vorfall zeitnah eingestanden, es hieß aber "war nur ganz kurz und betraf nur einige wenige Kunden".
Obiger Tweet und dieser Independent-Artikel legen die Details offen. Der IT-Vorfall betraf "schlappe" 447.936 Kunden der Bankengruppe. Die Bank hat bislang 3.625 Kunden eine Entschädigung in Höhe von 139.000 Pfund für die durch den Vorfall verursachten Unannehmlichkeiten und Belastungen gezahlt.
Die TeamPCP-Opferliste wird länger
Und im Artikel Databricks mutmaßlich Opfer des TeamPCP LiteLLM-Lieferkettenangriffs hatte ich gestern berichtet, dass Databricks, ein US-Unternehmen, welches eine starke Präsenz in Deutschland hat und zahlreiche große Unternehmen sowie Hidden Champions zu seinen Kunden zählt, Opfer der Cybergruppe TeamPCP geworden ist. Der Gruppe war ein Lieferkettenangriffs auf das Python-Paket von LiteLLM gelungen. Das OpenSource-Paket ermöglicht die Verwaltung von AI-Modellen und wird von vielen Firmen in diesem Bereich eingesetzt. Inzwischen wird die Liste der Namen von Opfern länger – ein Schnipsel, wer noch betroffen ist, ist in obigem Artikel zu Databricks nachgetragen.
MVP: 2013 – 2016
