Vereinigte Staaten von Amerika
Hacker konnten bei der Kootenai Health auf Daten von 464.088 Personen zugreifen. Am 22. Februar 2024 drangen die Täter in die Firmensysteme ein und lasen Namen, Geburtsdaten, Sozialversicherungsnummern, Führerscheine oder andere Identifikationsdokumente, Krankenaktennummern, Behandlungs- und Diagnosedaten sowie Medikamenten- und Krankenversicherungsinformationen. <LINK>
Hacker konnten bei der Kootenai Health auf Daten von 464.088 Personen zugreifen. Am 22. Februar 2024 drangen die Täter in die Firmensysteme ein und lasen Namen, Geburtsdaten, Sozialversicherungsnummern, Führerscheine oder andere Identifikationsdokumente, Krankenaktennummern, Behandlungs- und Diagnosedaten sowie Medikamenten- und Krankenversicherungsinformationen. <LINK>
Deutschland
Die deutsche Solarzellenfirma Qcells wurde am 2. August Opfer eines Ransomware-Angriffs durch die Abyss-Gruppe. Dabei entwendeten die Angreifer 5,4 Terabyte an Daten. Sollte Qcells nicht auf die Lösegeldforderungen eingehen, drohen die Täter damit, die gestohlenen Daten am 9. August zu veröffentlichen. Der Angriff wurde entdeckt, als Qcells auf die Opferliste der Hacker gesetzt wurde. Bisher hat sich das Unternehmen noch nicht zu dem Vorfall geäußert. <LINK>
Deutschland
MVZ für Laboratoriumsmedizin und Mikrobiologie Koblenz-Mittelrhein. Seit dem 29. Juli 2024 wird das MVZ Labor Koblenz auf der Darknet-Seite von RansomHub als Opfer aufgelistet. Die Täter geben an, 304 GB Daten gestohlen zu haben. <LINK>
Vereinigte Staaten von Amerika
HealthEquityHacker konnten bei der HealthEquity auf Daten von 4.300.000 Personen zugreifen. Dies stellte das Unternehmen im Juni 2024 fest <LINK>
Vereinigte Staaten von Amerika
Hacker konnten bei der Freudenberg Medical auf Daten von 4.415 Personen zugreifen. Der Vorfall ereignete sich zwischen dem 10. und 11. November 2023 und wurde am 18. Juni 2024 entdeckt. <LINK>
Deutschland
Deutsche Telekom. Jeder Festnetzanschluss auf Basis von IP-Adresse dauerhaft verfolgbar. Die Sicherheitsforscherin Lilith Wittmann entdeckte, dass es möglich war, personenbezogene Daten von Kunden der Deutschen Telekom mittels eines Webportals anhand der aktuellen IP-Adresse eines Nutzers auszulesen. Gab man diese ein, antwortete das Portal mit Auskunft über den gebuchten Telekom-Tarif, Datenraten, der Anschlussvorwahl und einer permanenten ID, die diese Informationen unabhängig von der IP-Adresse abrufbar machte. Grund dafür sind von der Telekom intern gespeicherte Daten, die in der Regel für "Komfortfeatures" wie die automatische Erkennung von Nutzernamen beim Login genutzt werden. Nachdem die Telekom Wittmann kontaktierte und das von ihr entwickelte Portal nach kurzen Verhandlungen übernahm, ist dies jedoch nicht mehr möglich. Wittmann erklärte aber auch, dass es theoretisch möglich sei, so identifizierte Anschlüsse bis auf den Häuserblock genau zu lokalisieren. <LINK>
Vereinigte Staaten von Amerika
Microsoft. Am 9. Juli 2024 postete ein Nutzer unter dem Pseudonym "888" eine Datenbank im Darknet zum Download, die personenbezogene Informationen von 2.073 Microsoft-Angestellten enthalten soll. Ihm zufolge erlangte er die Daten nach einer Supply Chain-Attacke auf eine von Microsoft genutzte App, die im Juli 2024 stattgefunden habe. Welches Programm dies gewesen sein soll, gab er nicht preis. Die Probe, die "888" als Beweis in dem Forum veröffentlichte, enthielt vor allem sensible Daten von Menschen in Neuseeland und Griechenland. Die Liste der enthaltenen Daten umfasst unter anderem Namen, Aufenthaltsland und, falls relevant, -bundesstaat, E-Mail-Adressen mit Verifizierungsstatus und -update-Datum, Durchwahltelefonnummern und Firmennummern, LinkedIn-Profil-URLs. Es sind offenbar auch hochrangige Firmenmitglieder betroffen. <LINK>
Microsoft. Am 9. Juli 2024 postete ein Nutzer unter dem Pseudonym "888" eine Datenbank im Darknet zum Download, die personenbezogene Informationen von 2.073 Microsoft-Angestellten enthalten soll. Ihm zufolge erlangte er die Daten nach einer Supply Chain-Attacke auf eine von Microsoft genutzte App, die im Juli 2024 stattgefunden habe. Welches Programm dies gewesen sein soll, gab er nicht preis. Die Probe, die "888" als Beweis in dem Forum veröffentlichte, enthielt vor allem sensible Daten von Menschen in Neuseeland und Griechenland. Die Liste der enthaltenen Daten umfasst unter anderem Namen, Aufenthaltsland und, falls relevant, -bundesstaat, E-Mail-Adressen mit Verifizierungsstatus und -update-Datum, Durchwahltelefonnummern und Firmennummern, LinkedIn-Profil-URLs. Es sind offenbar auch hochrangige Firmenmitglieder betroffen. <LINK>
Niederlande
Am 6. Juli 2024 behauptete der Hacker IntelBroker in einem Beitrag im BreachForums, sensible Daten der europäischen Polizeibehörde Europol gestohlen zu haben. Diese bietet er im Dark Web zum Verkauf an. Die EPE (Europol Platform for Experts) dient Europol zum Austausch sensibler Informationen zwischen europäischen Strafverfolgungsbehörden. Durch das Datenleck erlangten die Hacker wertvolle Daten, die mehrere laufende Ermittlungen gefährden könnten. Die geleakten Daten sollen Quellcode von TCO-DETECT+ enthalten, einer Website, die Schlüsselwörter und Hashes im Zusammenhang mit dschihadistischen Medien, extremistischen Gruppen und CBRNE-Bedrohungen (Chemische, Biologische, Radiologische, Nukleare und Explosivstoffe) katalogisiert. <LINK>
Am 6. Juli 2024 behauptete der Hacker IntelBroker in einem Beitrag im BreachForums, sensible Daten der europäischen Polizeibehörde Europol gestohlen zu haben. Diese bietet er im Dark Web zum Verkauf an. Die EPE (Europol Platform for Experts) dient Europol zum Austausch sensibler Informationen zwischen europäischen Strafverfolgungsbehörden. Durch das Datenleck erlangten die Hacker wertvolle Daten, die mehrere laufende Ermittlungen gefährden könnten. Die geleakten Daten sollen Quellcode von TCO-DETECT+ enthalten, einer Website, die Schlüsselwörter und Hashes im Zusammenhang mit dschihadistischen Medien, extremistischen Gruppen und CBRNE-Bedrohungen (Chemische, Biologische, Radiologische, Nukleare und Explosivstoffe) katalogisiert. <LINK>
Deutschland
Anfang Juli 2024 wurde der deutsche Hersteller von Hochleistungskühlern und Wärmetauschern, die AKG-Gruppe, Opfer eines Cyberangriffs. Die Produktion in den meisten Werken konnte inzwischen wieder aufgenommen werden. Offenbar legte Malware die IT-Systeme lahm, was zu Produktionsausfällen und Kommunikationsproblemen führte. Die Schadenshöhe und mögliche Datenlecks sind noch unklar. <LINK>
Deutschland
Westfälische Stahlgesellschaft. Seit dem 9. Juni 2024 kämpft die Westfälische Stahlgesellschaft (WSG) mit einem Ransomware-Angriff. Die Gruppe LockBit3.0 verschlüsselte Unternehmensdaten und forderte bis zum 10. Juli 2024 ein Lösegeld. Ob die WSG zahlte, bleibt unklar. Betroffen sind Produktions-, Mitarbeiter- und Kundendaten. Zudem legte der Angriff die Produktion, Lagerhaltung und Logistik der Stahlgesellschaft für mehrere Tage lahm. <LINK>
Australien
Harry Perkins Institute of Medical Research. Das Harry Perkins Institute of Medical Research in Western Australia wurde am 1. Juli 2024 von der Medusa-Ransomwaregruppe auf ihrer Webseite gelistet. Diese behauptet, 4,6 TB an Videoüberwachungsaufnahmen von Gebäudekameras ausgelesen zu haben und verlangt ein Lösegeld von 500.000 USD für die Löschung der Daten. Alternativ können interessierte Käufer dieselbe Summe zahlen, um die Daten herunterladen zu können. Medusa setzte dem Institut eine Deadline vom 12. Juli 2024. <LINK>
Vereinigte Staaten von Amerika
Das Fairfield Memorial Hospital ist von der LockBit-Gruppe mit Ransomware angegriffen worden. Die Hacker haben sensible Patientendaten gestohlen und ist am 2. Juli 2024 auf ihrer Leakseite veröffentlicht. Sie drohen, die gestohlenen Daten am 17. Juli 2024 zu veröffentlichen, falls kein Lösegeld gezahlt wird. Das Krankenhaus hat daraufhin seine IT-Systeme heruntergefahren und die Strafverfolgungsbehörden informiert. Es ist noch unklar, wie viele Patienten und Mitarbeiter betroffen sind. <LINK>
Vereinigte Staaten von Amerika
Florida Department of Health (FDOH) Die Ransomware-Gruppe RansomHub behauptete am 1. Juli 2024 auf ihrer Leakseite, 100 GB Daten des Florida Department of Health (FDOH) gestohlen zu haben. Das FDOH hat den Vorfall bisher nicht bestätigt. Ob die Daten tatsächlich gestohlen wurden und welche Informationen sie enthalten, bleibt unklar.
Vereinigte Staaten von AmerikaFlorida Department of Health (FDOH) Die Ransomware-Gruppe RansomHub behauptete am 1. Juli 2024 auf ihrer Leakseite, 100 GB Daten des Florida Department of Health (FDOH) gestohlen zu haben. Das FDOH hat den Vorfall bisher nicht bestätigt. Ob die Daten tatsächlich gestohlen wurden und welche Informationen sie enthalten, bleibt unklar.
Das FDOH hat nun mittlerweile bestätigt, dass es zu temporären Ausfällen in seinen "Vital Statistics"-Systemen gekommen ist. Weitere Details gab es noch nicht heraus; man untersuche den Vorfall aber.
Da die FDOH den Lösegeldforderungen von RansomHub nicht nachgekommen ist, haben die Hacker am Wochenede vom 6. Juli - 7. Juli 2024 begonnen die gestohlenen Daten zu veröffentlichen. <LINK>
HealthEquity. Das US-Unternehmen HealthEquity entdeckte am 25. März 2025 einen Cyberangriff. In einer Mitteilung an die Datenschutzbehörde erklärte das Unternehmen, dass es „anormales Verhalten bei einem privat genutzten Gerät eines Geschäftspartners“ bemerkt habe. Hacker kompromittierten das Konto des Partners und erhielten so Zugriff auf sensible Gesundheitsdaten. HealthEquity betont, dass es sich um einen isolierten Vorfall handelt, der nicht mit anderen Cyberangriffen im Gesundheitswesen in Verbindung steht. Die genauen Auswirkungen werden noch ermittelt. <LINK>
Deutschland
Gesundheitsberichterstattung des Bundes (GBE). Seit Mitte Juni 2024 ist die Gesundheitsberichterstattung des Bundes (GBE) offline. Das Portal, das eine Datensammlung über das deutsche Gesundheitswesen zur Verfügung stellt, befindet sich nach der Entdeckung einer Sicherheitslücke im Wartungsmodus. Die erste Meldung auf der GBE-Seite besagte noch, dass am 18. Juni 2024 Informationen dazu veröffentlicht werden sollten, wann diese wieder in Betrieb gehe, doch am 1. Juli 2024 wurde noch kein Datum genannt. Die Mitteilung besagt jedoch, dass das Problem behoben sei, die Seite aber einer Prüfung unterzogen werden soll, bevor sie wieder erreichbar ist. <LINK>
Deutschland
Sick AG. Die Support-Webseite des Sensorenherstellers Sick war Anfang Juli 2024 offline. Grund dafür war eine Sicherheitslücke in ihrem Portal, das von einem Drittdienstleister unterhalten wird. Die Lücke, die aus einem Konfigurationsfehler entstand, ermöglichte den Zugriff auf Kundendaten sowie interne Daten des Unternehmens selbst. Ein Login war für die Einsicht nicht nötig. Es war unter anderem möglich, E-Mail-Adressen auszulesen. Sick gab an, noch nicht zu wissen, wie viele seiner Kunden betroffen sind. Für die Zeit, in der das Portal zur Reparatur offline ist, wurde eine Ausweichadresse eingerichtet. <LINK>
Deutschland
TÜV Rheinland AG. Am 1. Juli 2024 behauptete die Ransomware-Gruppe Ransomexx, Daten vom TÜV Rheinland AG erbeutet zu haben und kündigte an, diese kurz darauf veröffentlichen zu wollen. Dem TÜV zufolge stammen diese Daten jedoch nicht von ihnen selbst, sondern von dem zugehörigen Unternehmen TÜV Rheinland Akademie GmbH, dessen Schulungsnetzwerk im Juni 2024 unauthorisierte Zugriffe verzeichnet hatte. Es sind vor allem Schulungsinhalte von dem Datendiebstahl betroffen, aber auch Raumbelegungen und möglicherweise Zugangsdaten zu bestimmten Schulungen.
Das Schulungsnetzwerk der TÜV Rheinland Akademie ist jedoch nicht mit den anderen Netzwerken des Konzerns verbunden und wurde direkt nach dem Angriff deaktiviert. Aktuell werden die Server des Schulungsnetzwerks neu installiert. Alle möglicherweise kompromittierten Zugänge sind gelöscht. <LINK>
Vereinigte Staaten von Amerika
Florida Community Health Centers. Am 13. Juni 2023 wurden die Florida Community Health Centers (FCHC) Opfer einer Cyberattacke. Bei dem Vorfall wurden Daten von 296.635 aktuellen und ehemaligen Patienten kompromittiert. Der Gesundheitsdienstleister informierte die Generalstaatsanwaltschaft von Maine am 1. Juli 2024 über den Vorfall und begründete dies mit der Durchführung mehrerer Untersuchungen.
Es gibt keine Angaben darüber, welche Daten exfiltriert wurden. <LINK>
Deutschland
Lambertz.
Die Black Basta-Ransomware-Gruppe hat das Backwarenunternehmen Lambertz auf ihrer Webseite als Opfer gelistet. Die Täter behaupten, bei ihrem Einbruch in das Firmennetzwerk 800 GB an sensiblen Daten ausgelesen zu haben, darunter Finanz- und Personalinformationen.
Lambertz hat den Vorfall bestätigt, äußerte sich jedoch bislang nicht dazu, wann er stattgefunden hat. Der Datendiebstahl sei möglich gewesen, weil der VPN-Zugang eines Dienstleisters kompromittiert worden war. Aktuell wird der Fall untersucht, nachdem Lambertz sein IT-Kommunikationssystem neu aufgesetzt hat. <LINK>
