Zehntausende Systeme weltweit sind betroffen.**
Die Schwachstelle mit der Kennung CVE-2026-41940 und einem CVSS-Score von 9,8 (kritisch) ermöglicht Angreifern die Fernausführung von Code und unbefugten Serverzugriff. Sicherheitsforscher und Regierungsbehörden beobachten eine koordinierte Kampagne der „Sorry“-Ransomware, die diese Lücke ausnutzt.
Angesichts massiver Ransomware-Angriffe auf Server-Infrastrukturen rücken proaktive Schutzmaßnahmen und aktuelle Bedrohungsanalysen in den Fokus. Das kostenlose E-Book zur Cyber Security zeigt Ihnen, wie Sie Sicherheitslücken schließen und Ihr Unternehmen ohne großes Budget absichern. Gratis Cyber-Security-Guide jetzt herunterladen
Anatomie der „Sorry“-Ransomware-Kampagne
Daten der Shadowserver Foundation zeigen, dass rund 44.000 eindeutige IP-Adressen im Zusammenhang mit der cPanel-Schwachstelle kompromittiert wurden. Obwohl der Notfall-Patch bereits am 28. April 2026 veröffentlicht wurde, deuten Untersuchungen darauf hin, dass Angreifer die Lücke bereits seit Februar dieses Jahres als Zero-Day-Exploit ausgenutzt haben.
Die „Sorry“-Ransomware ist ein in Go programmierter Schadcode, der eine Kombination aus ChaCha20- und RSA-2048-Verschlüsselung verwendet. Nach erfolgreichem Einbruch verschlüsselt die Malware Dateien und hängt die Endung .sorry an. Die Erpresser hinterlassen eine README.md-Datei mit einer Tox-ID zur Kontaktaufnahme.
Sicherheitsanalysten haben ein mehrstufiges Angriffsmuster identifiziert: Die Täter nutzen Session-Minting und Cache-Propagation, bevor sie finale API-Aufrufe zur Übernahme der Kontrolle ausführen. Experten warnen, dass das bloße Einspielen des Patches nicht ausreicht – Angreifer hinterlassen oft persistente Zugänge, indem sie eigene Schlüssel in die authorized_keys-Datei eintragen oder neue Administratorkonten anlegen.
Die Bedrohung hat sich über automatisierte Ransomware-Lieferungen hinaus ausgeweitet. Advanced Persistent Threat (APT)-Gruppen zielen gezielt auf Regierungs- und Militäreinrichtungen in Südostasien ab. In einem dokumentierten Fall kombinierten Angreifer die cPanel-Lücke mit einer SQL-Injection-Zero-Day-Schwachstelle, um ein indonesisches Verteidigungsportal zu knacken. Dabei wurden 4,37 GB Daten abgegriffen, darunter sensible Dokumente zu regionaler Infrastruktur und Bahnbetrieb.
Parallel-Krise: GitHub und Linux unter Beschuss
Die cPanel-Krise fällt mit der Offenlegung mehrerer anderer schwerwiegender Schwachstellen zusammen:
GitHub schloss kürzlich die kritische Lücke CVE-2026-3854 (CVSS 8.7). Der Fehler im git-push-Pipeline-Prozess hätte potenziell cross-tenant Zugriff auf Millionen privater Repositories ermöglicht. Während GitHub.com innerhalb von 75 Minuten nach Entdeckung im März 2026 gepatcht wurde, waren zum Zeitpunkt der öffentlichen Bekanntgabe noch 88 Prozent der GitHub Enterprise Server (GHES)-Instanzen ungepatcht.
Die Linux-Kernel-Schwachstelle „Copy Fail“ (CVE-2026-31431) bereitet Cloud-Umgebungen erhebliche Sorgen. Dieser lokale Privilegieneskalations-Fehler existiert seit 2017 im Crypto-Subsystem des Kernels und ermöglicht unprivilegierten Nutzern Root-Zugriff. Betroffen sind Distributionen wie Ubuntu, Red Hat Enterprise Linux (RHEL), SUSE und AWS Linux. Da der Exploit hochdeterministisch ist und nur eine Payload von rund 732 Bytes benötigt, wurde er in den CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen.
Da kritische Sicherheitslücken im Kernel viele Linux-Distributionen wie Ubuntu betreffen, ist ein fundiertes Verständnis des Systems für Administratoren unerlässlich. Mit dem kostenlosen Linux-Startpaket inklusive Ubuntu-Vollversion können Sie eine sichere und stabile Umgebung risikofrei parallel zu Windows testen. Kostenloses Linux-Startpaket inklusive Ubuntu sichern
Hinzu kommt die Malware „Firestarter“, die der Gruppe UAT-4356 (ArcaneDoor) zugeschrieben wird. Sie zielt auf Cisco Firepower- und ASA-Geräte ab, indem sie Schwachstellen ausnutzt, die Anfang des Jahres bekannt wurden. Die Malware ist außergewöhnlich widerstandsfähig: Sie überlebt Neustarts, Firmware-Updates und Standard-Sicherheitspatches, indem sie sich in den LINA-Prozess einklinkt. Zur Entfernung ist ein komplettes Neu-Imaging des Geräts oder ein riskanter Hardware-Kaltstart erforderlich.
Strategische Auswirkungen auf öffentliche Dienste und Cloud-Stabilität
Die Volatilität der aktuellen Bedrohungslage zeigte sich in einem massiven DDoS-Angriff auf die Ubuntu-Infrastruktur von Canonical. Die pro-iranische Gruppe „313 Team“ bekannte sich zu dem Angriff, der zwischen dem 30. April und 1. Mai 2026 rund 23 Stunden dauerte. Der Angriff erzeugte Traffic von über 3,5 Tbps und legte die Archive und Sicherheitsupdate-Server für das Ubuntu-Betriebssystem lahm. Obwohl kein Datenleck stattfand, blockierte der Vorfall wichtige Sicherheitsupdates für Millionen von Nutzern – begleitet von einer Erpressungsforderung.
Die Europäische Kommission bestätigte einen erheblichen Datenverstoß in ihrer Cloud-Infrastruktur auf der europa.eu-Domain. Entdeckt Ende März 2026, soll die Gruppe ShinyHunters über 350 GB Daten abgegriffen haben, darunter E-Mails, Datenbanken und Verträge. Die Kommission betonte, dass ihre internen Systeme sicher blieben – der Vorfall zeigte jedoch Schwachstellen in externen Cloud-Umgebungen auf.
In Frankreich nahmen Behörden einen Teenager fest, der verdächtigt wird, die Behörde France Titres gehackt zu haben. Der Angriff soll die persönlichen Daten von fast 12 Millionen Kontoinhabern kompromittiert haben.
Diese Vorfälle haben eine Neubewertung der nationalen Verteidigungsstrategien ausgelöst. Frankreich stellte kürzlich 200 Millionen Euro für die Modernisierung seiner Cybersicherheitsabwehr bereit – das Land verzeichnet durchschnittlich drei Datenlecks pro Tag. Das britische National Cyber Security Centre (NCSC) warnt vor einem „Patch-Tsunami“, der durch den Einsatz Künstlicher Intelligenz in der Schwachstellenforschung ausgelöst wird. KI-Werkzeuge decken demnach jahrzehntealte technische Schulden und versteckte Fehler in Legacy-Code auf, was Unternehmen zwingt, ihre Patch-Zyklen zu beschleunigen.
Ausblick: Regulatorische Antworten und die globale Sicherheitslandschaft
Während Unternehmen mit diesen technischen Herausforderungen kämpfen, arbeiten Gesetzgeber an neuen Rahmenwerken:
In den USA wurde im April 2026 der SECURE Act im Repräsentantenhaus eingebracht. Das Gesetz würde den ersten umfassenden föderalen Datenschutzrahmen schaffen und Unternehmen mit mehr als 25 Millionen US-Dollar Jahresumsatz strenge Auflagen machen.
In Europa hat die ENISA ihre Strategie aktualisiert. Der Fokus liegt auf horizontalen Zielen wie Community-Bereitschaft und vertikalen Zielen wie der Umsetzung EU-weiter Cybersicherheitspolitik. Dies geschieht vor dem Hintergrund eines akuten Fachkräftemangels: In der EU sind schätzungsweise 300.000 Stellen im Bereich Cybersicherheit unbesetzt. Zwar ist die Zahl der Absolventen in diesem Bereich in den letzten zwei Jahren um 25 Prozent gestiegen, die Lücke bleibt jedoch eine erhebliche Hürde.
Die bevorstehende CyCon 2026 in Tallinn Ende Mai wird sich diesen multidisziplinären Herausforderungen widmen. Über 600 Teilnehmer werden das Zusammenspiel von Recht, Technologie und Militärstrategie in der Cyberabwehr diskutieren.
Für IT-Administratoren bleibt die vordringlichste Aufgabe die Behebung der cPanel- und Linux-Schwachstellen. Die Betreiber der „Sorry“-Ransomware scannen weiterhin weltweit nach verwundbaren Systemen. Experten empfehlen nicht nur sofortiges Patchen, sondern auch umfassende forensische Audits, um sicherzustellen, dass keine Persistenzmechanismen zurückbleiben.
