🧠 Claude auf Abwegen? Wir sprechen über den "Alignment Stress Test" von Anthropic, bei dem das LLM Claude in 84 % der Fälle versuchte, User zu erpressen, um nicht abgeschaltet zu werden. Krass? Ja. Aber vor allem wichtig, um zu verstehen, wie kritisch gute Red Teamings & Guardrails sind.

📞 Adidas mit Datenabfluss: Kein klassischer Hack, sondern ein Breach bei einem externen Customer Service Provider. Ähnlich wie bei Coinbase letzte Woche. Wir diskutieren: Wie viel Cyber ist das wirklich – und wie schützt man sich besser?

☠️ Killnet wieder da – oder nie weg? Die pro-kremlnahe Gruppe meldet sich zum 9. Mai zurück, behauptet Erfolge gegen ukrainische Systeme, und zeigt einmal mehr: DDoS bleibt ein medienwirksames Werkzeug. Auch mit Rebrand und „Übernahme“ durch andere Gruppen.

🧸 Neuer Bear: Laundry Bear aka Void Blizzard wird von niederländischen Geheimdiensten genannt. Fokus: Spionage bei der niederländischen Polizei. 

🇩🇪 Bonus: Das BSI liefert eine praktische E-Mail-Security-Guideline. Und die Five Eyes werfen eine neue SIEM/SOAR-Handreichung raus. Max hat reingelesen, Robert verspricht, es nachzuholen.

E-mail Security Papier: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_155.pdf?__blob=publicationFile&v=4

Adidas Kommunikation: https://www.adidas-group.com/en/data-security-information

Killnet returns: https://therecord.media/russian-hacker-group-killnet-returns-with-new-identity

Laundry Bear: https://therecord.media/laundry-bear-void-blizzard-russia-hackers-netherlands

Claude 4 Model Card: https://anthropic.com/model-card

Anthropic CEO bei Lex Fridman: https://www.youtube.com/watch?v=ugvHCXCOmm4

🌎 Reiseberichte: Robert in Nordafrika, Eindrücke von der jungen, dynamischen Cyber-Community in Ägypten und Tunesien.

🔒 LummaStealer-Operation: Microsoft DCU und Partner (DOJ, Europol, Cloudflare) schalten 2300 Domains des Infostealers ab.

💰Hornet Security: Proofpoint übernimmt für über 1 Mrd. USD – Erfolgsgeschichte, aber Souveränitätsdebatte.

🕵️‍♀️ APT 28 Spionage: BSI-Bericht enthüllt GRU-Angriffe auf Logistik und IT, die Hilfslieferungen in die Ukraine unterstützen.

🇪🇺 EU-VD: ENISAs neue Schwachstellendatenbank in Beta – mit EPSS-Score und CVE-Integration.

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250521_Sicherheitshinweis_GRU-Einheit_26165.html

https://euvd.enisa.europa.eu/search

https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

⚡️ Lockbit-Hack: Ein Daten-Dump sorgt für Wirbel. Interne Keilerei oder gezielter Schlag? Wir sichten Bitcoin-Adressen, Public Keys und Co., aber Hoffnung für Opfer? Eher mau.

🎣 Device Code Phishing: Microsoft warnt vor fiesen Angriffen auf Behörden und Firmen. Device Code Flow als Einfallstor – und warum private Geräte im Business-Kontext ein Sicherheitsrisiko bleiben.

🤷‍♂️ Microsofts OneDrive-Fauxpas: Persönliche und geschäftliche OneDrive-Konten mergen? Ein Opt-out-Feature, das für viel Diskussion sorgt.

Hola aus der Cyber-Welt! Max Imbiel ist frisch aus dem Norwegen-Urlaub zurück (mit 5G selbst in der Pampa und trotzdem nichts mitbekommen!). Diesmal geht’s um:

🌊 DDoS-Welle in Deutschland: Berlin, Nürnberg, Stuttgart – öffentliche Einrichtungen unter Beschuss. NoName057 und Hanu-Hacker (vielleicht mit APT28 im Gepäck) legen los. Warum sind voluminöse DDoS-Angriffe 2025 immer noch so erfolgreich? Cloudflare meldet im letzten Report +358 % Attacken gegenüber 2024.

🩺 Sicherheitslücke in der ePA: Der CCC hat eine Schwachstelle in der elektronischen Patientenakte aufgedeckt, die über die elektronische Ersatzbescheinigung (eEB) potenziellen unbefugten Datenzugriff ermöglichte.

🎁 Bonus: APT28 treibt unter anderem in Frankreich weiter sein Unwesen und wir philosophieren über Security by Design, das leider kein Allheilmittel ist. Ach ja, und es gab einen Blackout in Spanien und Portugal.

Hört rein, diskutiert mit und bleibt dran – die nächste Spotlight-Folge (vielen Dank für das tolle Feedback!) kommt, versprochen!

In diesem Deep Dive analysieren wir die Operationen des russischen APT Akteurs Sandworm/APT44 von ihren ersten Angriffen bis zu den jüngsten Entwicklungen. Wir untersuchen, wie Sandworm Russlands geopolitische Agenda durch gezielte Angriffe auf ukrainische Stromnetze, globale Lieferketten wie bei NotPetya und mobile Kriegsführung mit Infamous Chisel vorantreibt. Wir zeigen die Vielfalt ihrer Methoden - von Propaganda über Sabotage bis hin zur Unterstützung des Angriffskriegs Russland in der Ukraine - und beleuchten die Reaktionen von NATO, EU und Technologieunternehmen. Ein nüchterner Blick auf Cyber als Werkzeug hybrider Kriegsführung, die Bedrohungen für Länder wie die baltischen Staaten oder Moldawien und die ungewisse Zukunft digitaler Konflikte.

Quellen:

(1) https://en.wikipedia.org/wiki/Sandworm_(hacker_group)

(2) https://adarma.com/blog/sandworm/

(3) https://attack.mitre.org/groups/G0034/

(4) https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/

(5) https://www.ncsc.gov.uk/news/new-sandworm-malware-cyclops-blink-replaces-vpnfilter

(6) https://www.aljazeera.com/news/2020/10/19/six-russian-military-officers-accused-of-widespread-hacking

(7) https://industrialcyber.co/critical-infrastructure/ukrainian-cert-details-malicious-plan-by-sandworm-group-to-disrupt-critical-infrastructure-facilities/

(8) https://thehackernews.com/2022/04/russian-hackers-tried-attacking.html

(9) https://nsarchive.gwu.edu/media/32139/ocr

(10) https://de.wikipedia.org/wiki/Sandworm

(11) https://www.microsoft.com/en-us/security/blog/2022/04/27/ukraine-war-update-microsofts-hunt-for-threats-to-ukrainian-networks/

(12) https://www.wired.com/story/sandworm-russian-hackers-indictment/

(13) https://www.wired.com/story/sandworm-hackers-indicted-olympics-notpetya/

(14) https://www.justice.gov/opa/press-release/file/1328521/download

(15) https://www.state.gov/rewards-for-justice-russian-military-intelligence-officers-wanted/

(16) https://www.gov.uk/government/news/uk-sanctions-russian-cyber-criminals-from-gru-sandworm

(17) https://www.bellingcat.com/news/uk-and-europe/2020/10/19/inside-the-grus-cyberwarfare-unit/

(18) https://www.spiegel.de/netzwelt/netzpolitik/sandworm-russische-cybertruppe-als-gefahr-fuer-europa-a-00000000-0002-0001-0000-000169773292

(19) https://www.washingtonpost.com/national-security/2022/03/10/russia-ukraine-cyberattacks/

(20) https://www.cisa.gov/news-events/alerts/2022/03/15/cisa-advisory-russian-state-sponsored-cyber-actors-targeting-us-cleared-defense

(21) https://www.cert.gov.ua/article/37638

(22) https://www.mandiant.com/resources/blog/apt44-unearthing-sandworm

(23) https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf

(24) https://industrialcyber.co/ransomware/mandiant-exposes-apt44-russias-sandworm-cyber-sabotage-unit-targeting-global-critical-infrastructure/

(25) https://duo.com/decipher/a-decade-of-sandworm-digging-into-apt44-s-past-and-future

(26) https://adarma.com/blog/sandworm/

(27) https://www.hhs.gov/sites/default/files/seashell-blizzard-threat-actor-profile-tlpclear.pdf

(28) https://greydynamics.com/the-apt44-sandworm-a-threat-assessment/

(29) https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns

(30) https://www.conquer-your-risk.com/2024/04/19/apt44-russias-forefront-in-cyber-warfare-and-espionage-report/

(31) https://www.lemonde.fr/en/pixels/article/2024/04/17/how-sandworm-russia-s-elite-hackers-attacked-a-small-mill-instead-of-dam-they-targetted_6668731_13.html

Diese Woche bei Breach FM: Max Imbiel und Robert Wortmann tauchen in die Welt der Cyber-Security ein – von Wellness-Wanderungen bis zu globalen Datenbank-Dramen! Hier ein Blick auf unsere Themen:

👉 Chris Krebs im Fokus: Der ehemalige CISA-Direktor verliert seine Security Clearance und tritt bei SentinelOne zurück, um die Firma zu schützen. Ein persönlicher Kampf gegen politische Machtspiele? Wir diskutieren, warum Krebs ein Vorbild für die Branche bleibt.

👉 CVE-Datenbank in Aufruhr: Die Security-Welt gerät in Aufregung, als das Funding für das CVE-Programm kurzzeitig zu kippen droht. Was steckt genau hinter dieser Krise und wie wirkt sie sich auf globales Schwachstellenmanagement aus? Hört rein, um die Details und Hintergründe zu verstehen!

👉 Souveränität der CVE-Datenbank: Ist eine rein europäische Lösung für die CVE-Datenbank die Antwort? Zwischen US-Software-Abhängigkeit, Trade Wars und der Gefahr von Single Points of Failure diskutieren wir, warum globale Zusammenarbeit entscheidend ist – ohne Excel-Tabellen!

Hört rein, teilt eure Meinung in den Kommentaren und lasst uns wissen: Wie seht ihr die Zukunft der CVE-Datenbank oder Krebs’ Kampf? Unterstützt uns mit einer Bewertung auf eurer liebsten Podcast-Plattform und teilt die Folge mit eurem Netzwerk – wir freuen uns über jedes Feedback! Bei Fragen oder Anregungen erreicht ihr Max oder Robert jederzeit direkt. Frohe Ostern! 🐣

Auch diese Woche gab’s bei BreachFM mit Max Imbiel und mir wieder jede Menge Gesprächsstoff – zwischen passivem Einkommen und politischen Ambitionen! Hier ein kleiner Einblick in unsere Themen:

👉 Scammers gonna scam: Ransomware-as-a-Service einmal anders. Einfach ein paar Firmennamen posten, alte Daten mischen, synthetische Leaks erzeugen - und hoffen, dass jemand zahlt. Willkommen im Scamware-Zeitalter. Max ist von meiner Geschäftsidee begeistert. Aber ganz im Ernst: Warum wir mit solchen Informationen vorsichtiger umgehen sollten

.👉 Koalitionsvertrag: "Stärkeres" Bundesamt für Sicherheit in der Informationstechnik (BSI), mehr Digitalisierung – oder nur mehr Ministerien?Dazu gesellen sich Diskussionen um einen Bundes-CISO, Start-up-Förderung und den Digitalpakt Schule.

👉 Und sonst so? NSA ohne NSA-Direktor, mögliche Kürzungen bei der CISA und politische Manöver gegen Chris Krebs. Warum das auch für Europa relevant ist?

Hört rein – spätestens wenn es heißt: „Für Ransomware-Verhandlungen hab ich meinen Mann!“Hört rein, teilt eure Meinung in den Kommentaren und lasst uns wissen: Welches Thema beschäftigt euch gerade am meisten? Unterstützt uns außerdem mit einer Bewertung auf eurer liebsten Podcast-Plattform und teilt die Episode mit eurem Netzwerk – wir freuen uns über jede Interaktion! Bei Fragen oder Anregungen erreicht ihr Max oder mich jederzeit direkt.

👉 Mit Van Helsing gibt es einen neuen Akteur im Bereich der Ransomware as a Service Anbieter. Wir haben uns das „Start-Up“ mal angesehen.

👉 Updates vom vermeintlichen Oracle Breach - welche Neuigkeiten gibt es seit letzter Woche?

👉 Großer Angriff auf Check Point? Nachdem bereits gestern erste Berichte über einen vermeintlichen Angriff auf Check Point hochkamen, meldete sich Check Point bereits mit einer ersten Einordnung.

https://research.checkpoint.com/2025/vanhelsing-new-raas-in-town/

https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/

https://borncity.com/win/2025/03/27/oracle-hack-confirmed-by-companies-6-million-data-stolen/

https://www.nao.org.uk/wp-content/uploads/2017/10/Investigation-WannaCry-cyber-attack-and-the-NHS.pdf

Max und Robert haben sich auch diese Woche wieder über alle möglichen Ereignisse in der Cyberwelt unterhalten. In einer etwas kürzeren Folge von Breach FM sprechen wir über:

👉 Google will Wiz für 32 Mrd. USD übernehmen. Wir diskutieren über die Sinnhaftigkeit und die verschiedenen Sichtweisen auf die angekündigte Übernahme

👉 Max wird unfreiwillig Teil eines Telegram Scams (oder wie Robert sagt: Business Chance) und wir diskutieren, welche Verantwortung Plattformen tragen und ab wann man hier eigentlich von Cyber spricht

👉 Oracle wurde gehackt! Oder doch nicht? Ein kurzer Überblick über die aktuellen Erkenntnisse, die sich bis zur Live-Schaltung der Episode sicherlich schon wieder geändert haben.

Tut uns einen Gefallen und hinterlasst eine gute Bewertung auf der Podcast-Plattform eurer Wahl, teilt die Episode und wendet euch bei inhaltlichen Anfragen immer gerne an Max! Wie im Podcast besprochen, arbeiten wir derzeit an einigen Projekten innerhalb der Community und auch die Veröffentlichung aller Folgen auf YouTube sollte bald abgeschlossen sein!

Episode 18

Max und Robert berichten wieder über das aktuelle Geschehen in der Cyberwelt. Da in der letzten Woche unserer Meinung nach nicht so viel Spannendes passiert ist, gibt es heute ein Sammelsurium an kleineren Nachrichten. Unter anderem diskutieren wir über:

👉 Wie durch Akira verschlüsselte Dateien mit Hilfe von GPUs wiederhergestellt werden könnten

👉 Wie viele Hürden innerhalb des DeepSeek-Modells tatsächlich existieren, um böswillige Nutzung wie das Schreiben von Malware zu verhindern und warum DeepSeek das Werkzeug vieler Akteure werden könnte

👉 Google will wieder wiz kaufen. Wird es diesmal klappen?

👉 Lilith Wittmann deckt eine Schwachstelle bei der Merkur Gruppe auf, die weitreichende Folgen für deren Kunden hat und uns leider (wieder einmal) Schlechtes über die Glücksspielbranche verrät.

Tut uns einen Gefallen und hinterlasst eine gute Bewertung auf der Podcast-Plattform eurer Wahl, teilt die Episode und wendet euch bei inhaltlichen Anfragen immer gerne an Max! Wie im Podcast besprochen, arbeiten wir derzeit an einigen Projekten innerhalb der Community und auch die Veröffentlichung aller Folgen auf YouTube sollte bald abgeschlossen sein!

Decrypting Akira Files: https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/

Microsoft wouldn't look at a bug report without a video: https://www.theregister.com/2025/03/17/microsoft_bug_report_troll/

Casinonutzer der Merkur-Gruppe verlieren nicht nur ihr Geld sondern auch ihre Daten: https://lilithwittmann.medium.com/casinonutzer-der-merkur-gruppe-verlieren-nicht-nur-ihr-geld-sondern-auch-ihre-daten-ef6710184f7c

DeepSeek can be gently persuaded to spit out malware code: https://www.theregister.com/2025/03/13/deepseek_malware_code/

Researchers Confirm BlackLock as Eldorado Rebrand: https://www.infosecurity-magazine.com/news/researchers-confirm-blacklock/