Die Sicherheitslage hat sich dramatisch zugespitzt: Microsofts Filtersysteme haben allein in den ersten drei Monaten des Jahres rund 8,3 Milliarden Phishing-E-Mails registriert. Dahinter stecken zunehmend automatisierte Angriffe, die selbst ausgeklügelte Schutzmechanismen überlisten. Besonders besorgniserregend: Die Täter setzen verstärkt auf Identitätsdiebstahl und missbrauchen legitime Cloud-Dienste für ihre Zwecke.
Rekord-Schäden durch Phishing zeigen, dass herkömmliche Filter oft nicht mehr ausreichen, um raffinierte Angriffe zu stoppen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen durch gezielte Awareness-Kampagnen und psychologische Analysen der Angreifer sicher bleibt. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Teams als Einfallstor: Trojaner „Snow“ im Anmarsch
Sicherheitsforscher haben einen neuen Angreifer namens UNC6692 identifiziert. Die Gruppe nutzt Microsoft Teams, um eine komplexe Schadsoftware namens „Snow“ zu verbreiten. Die Masche: Sie geben sich als IT-Helpdesk-Mitarbeiter aus und bombardieren ihre Opfer zunächst mit E-Mails – eine Technik, die als „Email Bombing“ bekannt ist. Anschließend nehmen sie über Teams Kontakt auf.
Der Infektionsprozess läuft in mehreren Stufen ab. Zunächst werden Mitarbeiter dazu gebracht, AutoHotkey-Skripte zu installieren. Diese laden eine schädliche Chrome-Erweiterung namens „SnowBelt“ nach. Ist die erst einmal aktiv, installiert die Malware eine Hintertür namens „SnowBasin“. Damit können Angreifer über PowerShell oder die Eingabeaufforderung Befehle ausführen.
Das Ziel: massiver Datendiebstahl. Die Angreifer extrahieren Active-Directory-Datenbanken mit forensischen Werkzeugen wie FTK Imager und nutzen „Pass-the-Hash“-Techniken, um sich seitlich durch Netzwerke zu bewegen. Die gestohlenen Daten werden über LimeWire-basierte Protokolle abtransportiert – eine bemerkenswerte Weiterentwicklung im Einsatz legitimer Kommunikationsplattformen.
Cloud-Angriffe auf dem Vormarsch
Auch Microsofts Cloud-Umgebung gerät zunehmend ins Visier. Ein neues Werkzeug namens „ConsentFix v3″ automatisiert den Missbrauch von OAuth-Protokollen. Die Angreifer stehlen Authentifizierungscodes und importieren sie in ein spezielles Portal namens „Specter Portal“. Damit erhalten sie dauerhaften Zugriff auf Cloud-Ressourcen – ohne klassische Anmeldedaten.
Ein besonders spektakulärer Fall traf die Europäische Kommission. Am 24. März 2026 entdeckten Sicherheitsexperten einen Einbruch in die Plattform Europa.eu. Die Hackergruppe ShinyHunters erbeutete 350 Gigabyte Daten, darunter E-Mails, Verträge und personenbezogene Informationen. Die internen Systeme der Kommission blieben zwar intakt, der Vorfall zeigt jedoch die Verwundbarkeit von Cloud-Konfigurationen.
„Sorry“-Ransomware: 44.000 IPs kompromittiert
Eine kritische Sicherheitslücke in cPanel und WHM (CVE-2026-41940, CVSS-Score 9,8) treibt die Verbreitung der „Sorry“-Ransomware an. Der Fehler ermöglicht unbefugten Root-Zugriff auf Server. Seit Ende April läuft eine massive Angriffswelle.
Die Zahlen sind alarmierend: Über 44.000 IP-Adressen wurden weltweit kompromittiert, rund 1,5 Millionen Systeme sind weiterhin gefährdet. Die USA sind mit 15.200 betroffenen IPs am stärksten getroffen, gefolgt von Frankreich und Deutschland mit jeweils über 4.000. Die US-Behörde CISA hat den 3. Mai 2026 als Stichtag für Patches in Bundesbehörden gesetzt.
Die in Go programmierte Ransomware verwendet ChaCha20- und RSA-2048-Verschlüsselung – eine Entschlüsselung ohne privaten Schlüssel ist unmöglich. Die Erpresser fordern umgerechnet rund 6.500 Euro Lösegeld, die Kommunikation läuft über den Tox-Messenger.
Linux-Kernel verwundbar: „Copy Fail“ bedroht Millionen Systeme
Eine weitere Schwachstelle mit dem Namen „Copy Fail“ (CVE-2026-31431) wurde in die CISA-Liste bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Fehler betrifft nahezu alle größeren Linux-Distributionen seit 2017 – darunter Ubuntu, Red Hat und SUSE.
Ein 732 Byte großes Python-Skript verschafft sich Root-Zugriff, indem es den Page-Cache über die AF_ALG-Kryptografieschnittstelle manipuliert. Patches sind seit dem 1. April verfügbar, aber ein öffentlicher Proof-of-Concept-Exploit treibt die Ausnutzung im Feld voran.
Identitätsdiebstahl als neue Waffe
Die aktuelle Angriffswelle zeigt einen klaren Trend: Weg von einfachen Endgeräte-Kompromittierungen, hin zur Ausbeutung von SaaS-Identitäten. Der Einbruch bei der Sicherheitsfirma ADT am 20. April 2026 ist ein Paradebeispiel. Die Angreifer erbeuteten 5,5 Millionen E-Mail-Adressen.
Die Täter – wiederum ShinyHunters – verschafften sich über einen Vishing-Angriff (Sprach-Phishing) Zugang zu den Okta-Single-Sign-On-Zugangsdaten eines Mitarbeiters. Damit extrahierten sie Kundendaten aus Salesforce, darunter Namen, Telefonnummern und Adressen. Die Gruppe droht, bis zu 10 Millionen Datensätze zu veröffentlichen.
Ähnliche Methoden kamen bei der „AccountDumpling“-Phishing-Kampagne zum Einsatz, die rund 30.000 Facebook-Konten kompromittierte. Die Angreifer nutzten Google AppSheet als „Phishing-Relais“, um E-Mail-Sicherheitsfilter zu umgehen. Sie verschickten legitime Benachrichtigungen über Urheberrechtsverletzungen oder Kontoverifikation und fingen so Anmeldedaten und Zwei-Faktor-Codes ab.
Die psychologischen Tricks der Hacker werden immer raffinierter, um selbst erfahrene Mitarbeiter zur Preisgabe von Zugangsdaten zu bewegen. Dieser neue Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt Ihnen, wie Sie die 7 häufigsten psychologischen Schwachstellen in Ihrer Belegschaft schließen. Kostenlosen Report zur Hacker-Abwehr sichern
Was Unternehmen jetzt tun müssen
Die schiere Dimension der Bedrohung – 8,3 Milliarden Phishing-Mails in nur drei Monaten – zeigt: KI-gestützte Abwehrmechanismen sind unverzichtbar. Doch die Erfolge von Social Engineering beweisen, dass Technik allein nicht ausreicht.
Der IOCTA-Bericht 2026 von Europol warnt: Ransomware bleibt die größte Bedrohung für Organisationen, mit über 120 aktiven Ransomware-Gruppen im vergangenen Jahr. Gefordert werden mehr internationale Zusammenarbeit und strengere Regulierungen für verschlüsselte Kommunikation und dezentrale Finanzinstrumente.
Die wichtigste Sofortmaßnahme: cPanel und WHM sofort patchen. Experten empfehlen zudem den Umstieg auf Zero-Trust-Architekturen, die Identitätsprüfung und Token-Binding priorisieren. Für Unternehmen, die bereits von Trojanern wie „Snow“ befallen wurden, bleibt oft nur der komplette Neuaufbau der Systeme – die Hintertüren sind zu tief verwurzelt, um sie einfach zu entfernen.
