{"id":321125,"date":"2026-02-05T06:51:52","date_gmt":"2026-02-05T05:51:52","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=321125"},"modified":"2026-02-10T11:28:47","modified_gmt":"2026-02-10T10:28:47","slug":"schweizer-unternehmen-trisa-ag-opfer-der-lynx-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/02\/05\/schweizer-unternehmen-trisa-ag-opfer-der-lynx-ransomware\/","title":{"rendered":"Schweizer Unternehmen Trisa AG Opfer der LYNX Ransomware? AI-gest\u00fctzte Angriffe auf AWS binnen Minuten erfolgreich"},"content":{"rendered":"

\"SicherheitDie in der Schweiz beheimatete Trisa AG ist als Gruppe im Bereich der Mund- (Zahnb\u00fcrsten), Haar- (B\u00fcrsten) und Sch\u00f6nheitspflege unterwegs. Mir vorliegenden Berichten soll das Unternehmen Opfer der Gentlemen-Gruppe geworden sein, die die LYNX-Ransomware auf deren IT-Systemen installieren konnten. Die Webseite des Unternehmens meldet noch nichts. Weiterhin liegt mir noch ein Bericht von sysdiag vor, der zeigt, wie KI-gest\u00fctzte Angriffe binnen 8 Minuten eine AWS-Instanz kompromittieren k\u00f6nnen. Ich fasse mal beide Themen in einem Sammelbeitrag zusammen.<\/p>\n

<\/p>\n

Ransomware-Angriff auf die Trisa AG in der Schweiz?<\/h2>\n

\"\"Es liegen mir Hinweise vor, dass das in der Schweiz beheimatete Unternehmen Trisa AG Opfer der LYNX-Ransomware geworden sei. Bei der Lynx-Ransomware handelt es sich um eine hochentwickelte Malware-Bedrohung. Die Malware wird seit Mitte 2024 auf Ransomware-as-a-Service-Basis von verschiedenen Cyber-Gruppen eingesetzt und es sind \u00fcber 20 Opfer der Lynx-Ransomware bekannt. Fortinet hat eine \u00dcbersicht<\/a> \u00fcber die Ransomware ver\u00f6ffentlicht.<\/p>\n

Wer ist die Trisa AG?<\/h3>\n

Die Trisa-Gruppe<\/a> ist ein Anbieter von B\u00fcrstenprodukten in den Bereichen Mund-, Haar- und K\u00f6rperpflege mit Sitz in Triengen im Kanton Luzern.\u00a0Die Trisa-Gruppe ist\u00a0 als Holding organisiert und besteht aus der Trisa AG (Zahnb\u00fcrsten, Haarb\u00fcsten, K\u00f6rperpflegeprodukte), Trisa Electronics AG (Elektroger\u00e4te), Trisa Accessoires AG (Haarschmuck, Modeschmuck), Ebnat AG (Interdentalpflege, Raumpflege) und der Vertriebsgesellschaft Trisa Bulgaria GmbH.<\/p>\n

\"Trisa<\/a><\/p>\n

Die Gruppe besch\u00e4ftigt laut Wikipedia<\/a> rund 1100 Mitarbeiter und erwirtschaftete 2020 einen Umsatz von 215,2 Millionen Schweizer Franken. Produkte von Trisa werden auf allen Kontinenten in \u00fcber 80 L\u00e4ndern vertrieben. Trisa geh\u00f6rt zu den weltweit f\u00fchrenden Unternehmen in diesem Bereich.<\/p>\n

Berichte \u00fcber Ransomware-Vorfall<\/h3>\n

Die Nacht sind mir erste Meldungen aus Sicherheitskreisen untergekommen (siehe nachfolgender BlueSky-Post<\/a>), dass die Schweizer Trisa AG Opfer der LYNX-Ransomware geworden sei.<\/p>\n

\"Ransomware<\/a><\/p>\n

Die Meldung geht wohl auf eine Ank\u00fcndigung der \"The Gentlemen\"-Ransomware-Gruppe zur\u00fcck, die am 4. Februar 2026 angek\u00fcndigt hat, dass man die Trisa AG mit der LYNX-Ransomware infiziert und 1 Terabyte an Daten abgezogen habe. Die Ransomware-Gruppe will diese Daten binnen 7 Tagen ver\u00f6ffentlichen.<\/p>\n

Ich habe auf der Webseite der Trisa AG geschaut, dort aber keinen Hinweis auf einen Cybervorfall finden k\u00f6nnen. Daher ist unklar, ob und welcher Bereich der Trisa-Holding \u00fcberhaupt betroffen sein k\u00f6nnte. Derzeit findet sich auch, abseits des obigen Posts von FalconFeeds.io (eigentlich vertrauensw\u00fcrdig) finden sich nur zwei weitere Quelle, die aber auch nur die \"Selbstbezichtigung\" der Ransomware-Gruppe wiedergeben.<\/p>\n

Erg\u00e4nzung:<\/strong> Die Trisa AG hat den Angriff inzwischen best\u00e4tigt, wie die Kollegen auf\u00a0inside-it.ch<\/a> best\u00e4tigen.<\/p>\n

KI-gest\u00fctzte Angriffe auf AWS-Instanzen in 8 Minuten<\/h2>\n

Sicherheitsforscher von sysdiag beschreiben im Beitrag\u00a0AI-assisted cloud intrusion achieves admin access in 8 minutes<\/a> einen offensiven Cloud-Angriff auf eine AWS-Umgebung, den sie am 28. November 2025 beobachtet haben.<\/p>\n

\"KI-Angriffe<\/p>\n

Den Angreifern gelang es, in weniger als 10 Minuten vom ersten Zugriff zu Administratorrechten zu gelangen. Der Angriff zeichnete sich nicht nur durch seine Geschwindigkeit aus, sondern auch durch mehrere Indikatoren, die darauf hindeuten, dass der Angreifer w\u00e4hrend der gesamten Operation gro\u00dfe Sprachmodelle (LLMs) einsetzte, um die Aufkl\u00e4rung der Angriffsvektoren zu automatisieren, b\u00f6sartigen Code zu generieren und Entscheidungen in Echtzeit zu treffen.<\/p>\n

Der Angreifer verschaffte sich \u00fcber Anmeldedaten, die er in \u00f6ffentlichen Simple Storage Service (S3)-Buckets gefunden hatte, ersten Zugriff auf das AWS-Konto des Opfers. Anschlie\u00dfend erweiterte er seine Berechtigungen durch Lambda-Funktionscode-Injektion, bewegte sich lateral \u00fcber 19 einzigartige AWS-Prinzipale, missbrauchte Amazon Bedrock f\u00fcr LLMjacking und startete GPU-Instanzen f\u00fcr das Modelltraining.\u00a0Das Sysdig TRT analysierte die gesamte Angriffskette, identifizierte Erkennungsm\u00f6glichkeiten und stellte Empfehlungen zur Schadensbegrenzung zusammen. Die Erkenntnisse sind im oben verlinkten Beitrag detailliert aufgef\u00fchrt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die in der Schweiz beheimatete Trisa AG ist als Gruppe im Bereich der Mund- (Zahnb\u00fcrsten), Haar- (B\u00fcrsten) und Sch\u00f6nheitspflege unterwegs. Mir vorliegenden Berichten soll das Unternehmen Opfer der Gentlemen-Gruppe geworden sein, die die LYNX-Ransomware auf deren IT-Systemen installieren konnten. Die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-321125","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321125"}],"version-history":[{"count":6,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321125\/revisions"}],"predecessor-version":[{"id":321367,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321125\/revisions\/321367"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}