GrayscaleInsight

Datenexpositionswelle trifft Versicherungen und Regierungen; TheFallen-Akteur aktiv

Verfolgte Ereignisse
164
Kritische Exposition
62

Zusammenfassung

Die heutige Bedrohungslandschaft wird von einer hohen Anzahl angeblicher Datenexpositionsereignisse dominiert, mit einem klaren Fokus auf die Versicherungs- und Regierungssektoren. Der Akteur TheFallen ist besonders aktiv und behauptet mehrere Verstöße gegen US-amerikanische Finanz- und Versicherungsunternehmen. Gleichzeitig weisen Branchenberichte auf die aktive Ausnutzung einer kritischen cPanel-Sicherheitslücke und ausgeklügelte Supply-Chain-Angriffe auf SAP- und npm-Ökosysteme hin, was sofortige Patches und eine Überprüfung der Abhängigkeiten erfordert.

Aktuelle Entwicklungen

Das bedeutendste Signal heute ist die konzentrierte Aktivität des Akteurs TheFallen, der behauptet, mehrere US-amerikanische Unternehmen kompromittiert zu haben. Zu diesen angeblichen Vorfällen gehören eine groß angelegte Kompromittierung eines Mehrsparten-Versicherungsanbieters, eine Datenbank eines Finanz-/REIT- und ETF-Investors sowie eines Luxusparfümeinzelhändlers. Das Ausmaß dieser Behauptungen deutet, falls bestätigt, auf eine gezielte Kampagne gegen hochwertige Finanz- und Verbraucherdaten in den USA hin. Separat behauptet der Akteur MDGhost, eine israelische Versicherungsgesellschaft und einen US-amerikanischen Versicherungsaggregator kompromittiert zu haben, was den Versicherungssektor weiter als Hauptziel unterstreicht.

  • TheFallen behauptet Verstöße gegen US-amerikanische Unternehmen, darunter eine Kundendatenbank eines Mehrsparten-Versicherers, eine Investorenliste eines Finanz-/REIT-Unternehmens, eine Datenbank von Kunstsammlern/Spendern und einen Luxusgütereinzelhändler.
  • MDGhost behauptet Verstöße gegen eine israelische Versicherungsorganisation und eine US-amerikanische Autoversicherungswebsite.
  • GordonFreeman behauptet, einen venezolanischen Telekommunikationsanbieter und zwei guatemaltekische Regierungsbehörden (Nationales Personenregister und Steuerverwaltungsaufsicht) kompromittiert zu haben.
  • 0xHentai und Mr. Hanz Xploit sind für mehrere angebliche Verstöße gegen indonesische Regierungs- und Bildungseinrichtungen verantwortlich, darunter eine Universität, ein Bezirksgericht und eine städtische Verkehrsbehörde.

Die heutige Branchenanalyse liefert wichtige Zusammenhänge. Sicherheitsforscher haben eine kritische Authentifizierungssicherheitslücke in cPanel identifiziert, die aktiv ausgenutzt wird, und fordern sofortige Patches für alle unterstützten Versionen. Ein separater Bericht beschreibt eine Supply-Chain-Angriffskampagne gegen SAP-bezogene npm-Pakete mit Schadsoftware zum Diebstahl von Anmeldedaten, die einer Kampagne namens „mini Shai-Hulud“ zugeschrieben wird. Forscher berichten auch über eine neue Angriffswelle von mit Nordkorea verbundenen Akteuren, die KI-gestützte npm-Malware und gefälschte Unternehmen einsetzen, um Remote Access Trojaner (RATs) zu verbreiten. Schließlich wurde bestätigt, dass der Checkmarx-Supply-Chain-Angriff zu einem Datenabfluss aus ihrer GitHub-Umgebung geführt hat, eine Woche nachdem bösartiger Code veröffentlicht wurde.

Signale der Bedrohungslandschaft

Die Ereignisse des Tages zeigen mehrere umsetzbare Muster. Erstens sind die Vereinigten Staaten das am stärksten betroffene Land, hauptsächlich aufgrund der angeblichen Angriffe von TheFallen auf den Finanzsektor. Indonesien ist das zweithäufigste Zielland, mit einer hohen Anzahl von wenig ausgefeilten Verstößen gegen Regierungs- und Bildungseinrichtungen durch lokale Akteure. Die Konzentration der Aktivitäten von DieNet (27 Ereignisse) und Keymous Plus (15 Ereignisse) deutet darauf hin, dass diese Gruppen dauerhafte, möglicherweise automatisierte Kampagnen durchführen.

Aus defensiver Sicht erfordert die Konvergenz von Supply-Chain-Angriffen (npm, SAP, Checkmarx) und der aktiven Ausnutzung einer kritischen Infrastrukturkomponente (cPanel) sofortige Aufmerksamkeit. Die LiteLLM-Sicherheitslücke, die kurz nach ihrer Offenlegung ausgenutzt wird, erinnert an das schrumpfende Zeitfenster für Patches. Der Bericht über 38 Sicherheitslücken in OpenEMR-Medizinsoftware unterstreicht ebenfalls die anhaltenden Risiken in der Gesundheitstechnologie. Verteidiger sollten priorisieren: Patchen von cPanel, Überprüfen von npm-Abhängigkeiten auf SAP-bezogene Pakete und Überprüfen von Exposure-Management-Plattformen, um mit der KI-gesteuerten Angriffsautomatisierung Schritt zu halten.

Nur für Abonnenten

CTI-Bericht — 29. April 2026

Der vollständige Bericht behandelt Ransomware-Behauptungen, Datenlecks und an diesem Tag bekannt gewordene Bedrohungsakteure. Der heutige Bericht ist für alle Leser offen; historische Ausgaben sind Teil des Abonnement-Feeds.

Preise ansehen Anmelden

Alle Vorfälle werden als angebliche Behauptungen von Bedrohungsakteuren gemeldet und wurden von GrayscaleInsight nicht unabhängig verifiziert.

Bedrohungsinformationen werden ausschließlich zu Sicherheitsbewusstseinszwecken gemeldet und stellen keine Billigung eines Akteurs, einer Gruppe oder einer Aktivität dar.

Letzte Ausgaben
2. Mai
Trellix-Quellcode getroffen; Microsoft- und Orange-Forum-Behauptungen
212 Ev 53 krit
1. Mai
Mehrere Regierungsverstöße, Telkom Indonesia in globaler Datenleckwelle getroffen
180 Ev 70 krit
30. Apr.
Forum-Datenlecks treffen Polymarket und PNC, Gemini CLI RCE gepatcht
150 Ev 57 krit