GrayscaleInsight

Mehrere Regierungsverstöße, Telkom Indonesia in globaler Datenleckwelle getroffen

Verfolgte Ereignisse
180
Kritische Exposition
70

Zusammenfassung

Die heutige Bedrohungslandschaft ist geprägt von einem breiten, opportunistischen Angriff auf Regierungen und kritische Infrastrukturen, wobei Indonesien als Hauptziel hervortritt. Die Menge der angeblichen Verstöße – 70 kritische Gefährdungen von insgesamt 180 Ereignissen – signalisiert eine niedrige Eintrittsbarriere für Angreifer, die sowohl hacktivistische Motive als auch finanziellen Gewinn nutzen. Verteidiger sollten die Priorität auf das Patchen öffentlich zugänglicher Webanwendungen und die Überwachung auf Credential Stuffing legen, da die Vielfalt der Opfer auf automatisiertes Scannen und Ausnutzen gängiger Schwachstellen hindeutet.

Aktuelle Entwicklungen

Die bedeutendste Aktivität des Tages konzentriert sich auf eine anhaltende Kampagne gegen indonesische Regierungs- und Militäreinrichtungen. Der Akteur Mr. Hanz Xploit ist für mehrere angebliche Verstöße verantwortlich, darunter der Telekommunikationsriese Telkom Indonesia, das Ministerium für Mahkamah Konstitusi sowie mehrere lokale Regierungsstellen wie Kantor Pertanahan Kota Banjar, PPID Kabupaten Pekalongan und Pemerintah Kabupaten Boyolali. Dieser Akteur behauptet zudem, Google und GameFools in den USA kompromittiert zu haben, was auf einen breiten operativen Umfang hindeutet.

  • Regierungssektor unter Beschuss: Über Indonesien hinaus trafen angebliche Verstöße das Land Transportation Office auf den Philippinen (behauptet von Philippine Cyber Alliance), den Obersten Justizrat von Oman (MashroomBlind) und mehrere brasilianische Gemeinden, darunter Manoel Viana und Ipanema (beide behauptet von NormalLeVrai). Die Stadtverwaltung von Ipanema und die Stadtverwaltung von Medan (Xyph0rix) unterstreichen den Fokus auf lokale Verwaltungen.

  • Kritische Infrastruktur und Finanzen: Der angebliche Verstoß gegen Telkom Indonesia ist besonders besorgniserregend angesichts seiner Rolle in der nationalen Kommunikation. Im Finanzsektor umfassen Behauptungen den Verkauf von Daten von Risepay, einem brasilianischen Zahlungsgateway, und einen Verstoß gegen Towerpoint Wealth, LLC in den USA (ShinyHunters). Der angebliche Verkauf von israelischen Krankenversicherungsdaten und einer Datenbank von in den USA lebenden Chinesen unterstreicht die Zielsetzung sensibler personenbezogener Daten.

  • Aufsehenerregende Behauptungen: Mehrere Akteure haben Aufmerksamkeit erregende Behauptungen gegen große Institutionen aufgestellt. Der Akteur Xyph0rix behauptet Verstöße gegen INTERPOL in Singapur und Sovcombank in Russland. Der Akteur PhotonPool_ behauptet einen Verstoß gegen die NASA, und der Akteur scyth behauptet einen Verstoß gegen die NSA. Obwohl die Wahrheit dieser Behauptungen unbestätigt ist, erzeugen sie erhebliches Rauschen und könnten von glaubwürdigeren Bedrohungen ablenken.

  • Gesundheitswesen und Bildung im Visier: Der Gesundheitssektor sah angebliche Verstöße gegen Careficient, Inc und Medropolitan in den USA sowie das Nationale Zentrum für HIV/AIDS, Dermatologie und STD in Kambodscha. Der Bildungssektor wurde durch Verstöße gegen Follett Software (ShinyHunters), die Udayana-Universität und die SMAN 60 Jakarta (beide Mr. Hanz Xploit) getroffen.

Signale der Bedrohungslandschaft

Die Daten zeigen eine klare Häufung von Aktivitäten um eine kleine Anzahl produktiver Akteure. Mr. Hanz Xploit (9 Ereignisse) und NormalLeVrai (8 Ereignisse) allein machen fast 10 % aller verfolgten Ereignisse aus, was darauf hindeutet, dass sie möglicherweise mit automatisierten Werkzeugen arbeiten oder eine gemeinsame Schwachstelle ausnutzen. Die hohe Anzahl von Datenverstoß-Ereignissen (60) im Vergleich zu Ransomware (19) deutet auf eine Präferenz für Datendiebstahl und Erpressung ohne Verschlüsselung hin, ein Trend, der die Betriebskosten für Angreifer senkt.

Geografisch bleiben die USA das wichtigste Opferland (40 Ereignisse), aber die Konzentration auf Indonesien (13 Ereignisse) und Israel (18 Ereignisse) ist bemerkenswert. Die Zielsetzung israelischer Einrichtungen, einschließlich Krankenversicherungsdaten, zusammen mit Behauptungen gegen die Islamischen Revolutionsgarden (IRGC) durch denselben Akteur (The BlackH4t MD-Ghost), deutet auf politisch motivierten Hacktivismus hin. Die Mischung aus Regierungs-, Militär- und kommerziellen Zielen an einem einzigen Tag unterstreicht die Notwendigkeit einer einheitlichen Bedrohungsaufklärungshaltung, die Sektoren nicht isoliert.

Nur für Abonnenten

CTI-Bericht — 1. Mai 2026

Der vollständige Bericht behandelt Ransomware-Behauptungen, Datenlecks und an diesem Tag bekannt gewordene Bedrohungsakteure. Der heutige Bericht ist für alle Leser offen; historische Ausgaben sind Teil des Abonnement-Feeds.

Preise ansehen Anmelden

Alle Vorfälle werden als angebliche Behauptungen von Bedrohungsakteuren gemeldet und wurden nicht unabhängig von GrayscaleInsight verifiziert.

Bedrohungsaufklärung wird ausschließlich zu Sicherheitsbewusstseinszwecken gemeldet und stellt keine Billigung eines Akteurs, einer Gruppe oder einer Aktivität dar.

Letzte Ausgaben
2. Mai
Trellix-Quellcode getroffen; Microsoft- und Orange-Forum-Behauptungen
212 Ev 53 krit
30. Apr.
Forum-Datenlecks treffen Polymarket und PNC, Gemini CLI RCE gepatcht
150 Ev 57 krit
29. Apr.
Datenexpositionswelle trifft Versicherungen und Regierungen; TheFallen-Akteur aktiv
164 Ev 62 krit