Eine kritische Sicherheitslücke in der Webhosting-Plattform cPanel hat eine beispiellose Welle von Ransomware-Angriffen ausgelöst. Weltweit sind Zehntausende Server betroffen.
Die als CVE-2026-41940 bekannte Schwachstelle ermöglicht Angreifern unbefugten Root-Zugriff auf Server. Mit einem CVSS-Score von 9,8 gilt sie als höchst kritisch. Seit dem 30. April haben Sicherheitsforscher von Shadowserver rund 44.000 kompromittierte IP-Adressen registriert. Die neue Schadsoftware trägt den Namen „Sorry“ und verschlüsselt Daten mit den Protokollen ChaCha20 und RSA-2048.
Angesichts der massiven Angriffswellen auf Server-Infrastrukturen suchen viele Nutzer nach stabileren und sichereren Betriebssystem-Alternativen. Das kostenlose Linux-Startpaket zeigt Ihnen, wie Sie Ubuntu ohne Risiko testen und Ihren Rechner vor typischen Viren-Gefahren schützen können. Kostenloses Linux-Startpaket mit Ubuntu-Vollversion jetzt sichern
Behörden im Krisenmodus
Die US-Behörde für Cybersicherheit (CISA) nahm die Schwachstelle am 1. Mai in ihren Katalog bekannter ausgenutzter Sicherheitslücken auf. Nur einen Tag später bestätigte die Regierung von Guam einen aktiven Cyber-Vorfall. Mehrere Regierungsseiten sind betroffen, eine Datenpanne wurde bislang nicht bestätigt. Zeitgleich meldete Adams County im US-Bundesstaat Mississippi, dass kritische Systeme durch einen separaten Ransomware-Angriff lahmgelegt wurden.
Lieferketten-Angriffe auf SAP und Cloud-Dienste
Parallel zur cPanel-Krise haben Angreifer eine als „Mini Shai-Hulud“ bekannte Lieferketten-Attacke auf offizielle SAP-npm-Pakete gestartet. Die Gruppe TeamPCP entwickelte Schadsoftware, die Zugangsdaten aus Browsern wie Chrome, Safari und Edge stiehlt. Über 1.100 Opfer-Repositories wurden identifiziert, gestohlene Daten landeten in öffentlichen GitHub-Repositorien.
Ein weiterer massiver Angriff zielt auf AWS S3-Speicher. Die Täter erlangten Zugriff auf 1.229 Zugangsschlüssel und verschlüsselten Daten mit serverseitiger Verschlüsselung. Die Lösegeldforderung beträgt rund 0,3 Bitcoin – umgerechnet etwa 25.000 Euro.
Sicherheitsbranche selbst betroffen
Am 2. Mai meldete der Sicherheitsanbieter Trellix unbefugten Zugriff auf Teile seines internen Quellcodes. Das Unternehmen arbeitet mit Forensik-Experten und Strafverfolgungsbehörden zusammen. Bislang gibt es keine Hinweise auf Manipulationen oder Auswirkungen auf Kundenprodukte.
Kritische Infrastruktur unter Beschuss
Der Ubuntu-Herausgeber Canonical wurde ab dem 30. April Ziel eines 23-stündigen DDoS-Angriffs. Die pro-iranische Hacktivistengruppe „The Islamic Cyber Resistance in Iraq 313″ bekannte sich zu der Attacke, die Sicherheitsupdates für Ubuntu-Nutzer blockierte und in Erpressung mündete.
Besonders hart trifft es den Gesundheitssektor. Der niederländische Krankenhaussoftware-Anbieter ChipSoft, der über 70 Prozent der niederländischen Kliniken versorgt, bestätigte die Vernichtung gestohlener Patientendaten nach einem Ransomware-Angriff im April. Die Gruppe Embargo bekannte sich zu der Tat.
Die gezielten Angriffe auf Unternehmen und Dienstleister verdeutlichen, wie wichtig proaktive Sicherheitsmaßnahmen für die IT-Infrastruktur heute sind. Dieses Gratis-E-Book enthüllt aktuelle Bedrohungstrends und zeigt Wege auf, wie Sie Ihr Unternehmen langfristig vor Cyberattacken schützen können. E-Book zu Cyber Security Awareness jetzt kostenlos herunterladen
Das Cookeville Regional Medical Center in Tennessee meldete einen Datenschutzverstoß mit 337.917 betroffenen Patienten. Die Angreifer erbeuteten Sozialversicherungsnummern und Finanzdaten. Die ursprüngliche Lösegeldforderung von 10 Bitcoin entsprach damals rund 1,15 Millionen Euro.
Politik reagiert mit drastischen Maßnahmen
Die zunehmende Geschwindigkeit von Cyberangriffen zwingt US-Behörden zu radikalen Schritten. CISA und das Weiße Haus diskutieren, das Patch-Fenster für Bundesbehörden von 14 auf nur drei Tage zu verkürzen. Der Grund: KI-Modelle wie GPT-5.4-Cyber und „Mythos“ verkürzen die Zeit, die Angreifer zur Waffenausnutzung neuer Schwachstellen benötigen, drastisch. Branchenexperten zweifeln jedoch an der technischen Umsetzbarkeit in komplexen Unternehmensumgebungen.
Die Nationale Schwachstellendatenbank (NVD) stellt ab Frühjahr 2026 die Anreicherung von Schwachstellen ein, die vor dem 1. März 2026 gemeldet wurden. Grund ist ein Anstieg der gemeldeten CVEs um 263 Prozent zwischen 2020 und 2025.
Neue Bedrohungen am Horizont
Eine kürzlich entdeckte Schwachstelle im Linux-Kernel, CVE-2026-31431 („Copy Fail“), ermöglicht lokale Rechteausweitung und Root-Zugriff. Der Fehler existiert seit 2017 und betrifft Distributionen wie Ubuntu, AlmaLinux und CloudLinux.
Die hochentwickelte Malware „Firestarter“ überlebt selbst Sicherheitsupdates und Neustarts auf Cisco Firepower- und Secure Firewall-Geräten. Die dem Akteur UAT-4356 zugeschriebene Schadsoftware zeigt, wie schwer Perimetersicherheit zu gewährleisten ist.
Für Unternehmen bleibt die Lage angespannt. Das Zeitfenster zwischen Entdeckung einer Schwachstelle und ihrer massenhaften Ausnutzung schrumpft weiter. Sicherheitsforscher empfehlen automatisierte und risikobasierte Patch-Strategien, um sensible Daten und kritische Infrastruktur zu schützen.
