Nord-Amerika
GitHub-Repositorys
Mehr als 5.000 GitHub-Repositorys waren von einer automatisierten Schadkampagne namens „Megalodon“ betroffen, bei der gefälschte Pull-Anfragen genutzt wurden, um sensible Daten zu stehlen.
Angriffe auf die Lieferkette, die auf Open-Source-Repositorys für JavaScript und Python abzielen, nehmen weiter zu. Ein Vorfall aus jüngster Zeit veranlasste das zu Microsoft gehörende Unternehmen GitHub zu der Warnung, dass Angreifer rund 3.800 interne Repositorys gestohlen hätten, nachdem ein Entwickler eine manipulierte Visual Studio Code-Erweiterung installiert hatte. Die Hacking-Gruppe „TeamPCP“, die sich auf Angriffe auf die Lieferkette spezialisiert hat, bekannte sich zu dem Angriff.
Anstatt den Anwendungscode direkt zu verändern, fügte die Kampagne über GitHub Actions – GitHubs cloudbasierte CI/CD-Plattform zum Erstellen, Testen und Bereitstellen von Software – eine schädliche Workflow-Datei in die Repositorys ein. Insgesamt führte die Megalodon-Kampagne Berichten zufolge innerhalb von sechs Stunden 5.718 schädliche Commits in 5.561 Repositorys durch.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Sobald ein Repository-Besitzer einen bösartigen Commit zusammenführt, kann sich die Malware innerhalb der CI/CD-Pipeline ausführen und sich möglicherweise weiter in verbundenen Umgebungen verbreiten. Angesichts der weiter zunehmenden Angriffe auf die Lieferkette sollten Unternehmen ihre Code-Review-Prozesse verstärken, Abhängigkeiten von Drittanbietern überprüfen und ihre Entwicklungspipelines kontinuierlich auf verdächtige Aktivitäten und unbefugte Änderungen am Workflow überwachen.
Europa
Unimed
Deutsche Universitätskliniken haben mit einem groß angelegten Datenleck zu kämpfen, nachdem unbekannte Hacker einen externen Abrechnungsdienstleister angegriffen haben, der von medizinischen Zentren im ganzen Land genutzt wird.
Der Datenleck betraf Berichten zufolge Unimed, ein Unternehmen, das im Auftrag zahlreicher deutscher Krankenhäuser Abrechnungsdienstleistungen für privat versicherte und selbstzahlende Patienten erbringt. Den Berichten zufolge ereignete sich der Angriff Mitte April und betraf Zehntausende von Patienten, die mit den Universitätskliniken in Köln, Freiburg, Ulm, Heidelberg und Tübingen in Verbindung stehen.
Zu den betroffenen Daten gehören Berichten zufolge Namen, Adressen, Angaben zu Ärzten, gesundheitsbezogene Korrespondenz mit dem Abrechnungsdienstleister sowie Bank- und Zahlungsdaten.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Durch solche Datenschutzverletzungen im Gesundheitswesen können hochsensible personenbezogene Daten (PII) und geschützte Gesundheitsdaten (PHI) offengelegt werden, was das Risiko von Identitätsdiebstahl, Versicherungsbetrug und gezielten Phishing-Angriffen erhöht. Organisationen im Gesundheitswesen sollten die Sicherheitsüberwachung bei Drittanbietern verstärken, strenge Zugriffskontrollen durchsetzen, kontinuierlich auf verdächtige Aktivitäten achten und sicherstellen, dass sensible Patientendaten verschlüsselt und sicher segmentiert werden.
Nord-Amerika
Beacon Mutual Versicherungsgesellschaft
Die Beacon Mutual Insurance Company, ein führender Anbieter von Arbeitsunfallversicherungen mit Sitz in Rhode Island, hat damit begonnen, Personen zu benachrichtigen, deren personenbezogene Daten bei einem kürzlich erfolgten Ransomware-Angriff offengelegt wurden.
Das Unternehmen stellte den Angriff am 14. Januar 2026 fest, und eine anschließende Untersuchung ergab, dass die Angreifer zwischen dem 7. und 14. Januar Zugriff auf bestimmte Systeme hatten. In diesem Zeitraum sollen die Angreifer Datendateien kopiert haben, die sensible Informationen wie Namen, Sozialversicherungsnummern, Führerscheinnummern, Finanzkontodaten, Krankenversicherungsdaten und medizinische Behandlungsunterlagen enthielten.
Etwa 162.000 Personen könnten betroffen sein, darunter mehr als 131.000 Einwohner von Rhode Island. Beacon Mutual teilte mit, dass es die betroffenen Personen benachrichtigt, und forderte alle, die glauben, betroffen zu sein, auf, sich an das Unternehmen zu wenden.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Die Offenlegung von Finanz-, Gesundheits- und personenbezogenen Daten kann das Risiko von Betrug, Identitätsdiebstahl und gezielten Phishing-Angriffen erheblich erhöhen. Unternehmen, die mit sensiblen Kundendaten umgehen, sollten ihre Netzwerküberwachung verstärken, strenge Zugriffskontrollen für Daten durchsetzen und verschlüsselte, segmentierte Speicherumgebungen einrichten, um die Folgen von Datenschutzverletzungen zu minimieren.
Nord-Amerika
American Lending Center
Das American Lending Center, ein in Kalifornien ansässiger Nicht-Bank-Kreditgeber, der sich auf Kredite für kleine Unternehmen und Start-ups spezialisiert hat, meldete einen Ransomware-Angriff, bei dem sensible personenbezogene Daten von 123.158 Personen kompromittiert wurden.
Der Datenverstoß wurde am 27. Juli 2025 entdeckt, und eine anschließende Untersuchung ergab, dass Angreifer zwischen dem 24. und 30. Juli 2025 Zugriff auf Dateien hatten. Zu den offengelegten Daten könnten Namen, Geburtsdaten und Sozialversicherungsnummern gehören. Die forensische Untersuchung wurde erst am 8. April 2026 abgeschlossen, fast neun Monate nachdem der Vorfall erstmals festgestellt worden war.
Keine bekannte Ransomware-Gruppe hat sich öffentlich zu dem Angriff bekannt, was darauf hindeutet, dass entweder ein Lösegeld gezahlt wurde oder dass die Verantwortlichen keine öffentliche Leak-Seite betreiben.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Die Zahlung von Lösegeld bietet keine Garantie dafür, dass die Angreifer ihr Wort halten oder die gestohlenen Daten endgültig löschen. Daher sind Prävention und die Vorbereitung auf die Wiederherstellung von entscheidender Bedeutung. Unternehmen sollten in eine proaktive Überwachung von Bedrohungen investieren, verschlüsselte und regelmäßig getestete Backups führen und sicherstellen, dass sie über einen soliden Plan zur Geschäftskontinuität und Notfallwiederherstellung (BCDR) verfügen, um sich schnell erholen zu können, ohne auf die Angreifer angewiesen zu sein.
Nord-Amerika
Grafana Labs
Grafana Labs, das Unternehmen hinter der KI-gestützten Analyse- und Visualisierungsplattform Grafana, gab bekannt, dass ein Angreifer einen falsch konfigurierten GitHub-Actions-Workflow namens „Pwn Request“ ausgenutzt hat, um ein privilegiertes GitHub-App-Token zu stehlen. Der Exploit ermöglichte es dem Angreifer Berichten zufolge, privaten Quellcode zu entwenden und zu versuchen, das Unternehmen zu erpressen.
In einer Reihe von Beiträgen auf X (ehemals Twitter) teilte Grafana Labs mit, dass sich ein Unbefugter ein Token verschafft habe, das ihm Zugriff auf die GitHub-Umgebung gewährte und das Herunterladen von Quellcode ermöglichte. Ein „Pwn Request“ ist eine CI/CD-Sicherheitslücke in GitHub-Actions-Workflows, bei der nicht vertrauenswürdiger Code von externen Mitwirkenden automatisch ausgeführt wird, wodurch möglicherweise Repository-Geheimnisse offengelegt werden und Angreifern Schreibrechte gewährt werden.
Die Verantwortung für den Angriff übernahm öffentlich das „Coinbase Cartel“, eine Gruppe, die sich mit Datendiebstahl und Erpressung befasst und Berichten zufolge Verbindungen zum SLSH-Ökosystem unterhält. Berichten zufolge forderte die Gruppe ein Lösegeld, dessen Zahlung Grafana Labs jedoch unter Verweis auf die Leitlinien des FBI ablehnte, wonach Lösegeldzahlungen keine Garantie für die Rückgabe oder Löschung gestohlener Daten bieten.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Falsch konfigurierte CI/CD-Workflows können Angreifern direkten Zugriff auf sensible Repositorys, geheime Daten und Entwicklungsumgebungen verschaffen. Unternehmen sollten die Berechtigungen für GitHub Actions überprüfen, die Ausführung von nicht vertrauenswürdigem Code einschränken, CI/CD-Pipelines kontinuierlich überwachen und Zugriffskontrollen nach dem Prinzip der geringsten Privilegien durchsetzen, um das Risiko einer Kompromittierung der Lieferkette zu verringern.
