Wochenlage KW 20: Ransomware-Welle gegen Healthcare, KEV-Updates
Kurzfazit
Drei große Ransomware-Vorfälle im Healthcare-Sektor, fünf neue KEV-Einträge und ein gehäuftes Auftreten von Active-Directory-Angriffen prägen die Woche.
Executive Summary
Die Woche zeigt drei klare Cluster: Ransomware gegen Healthcare, KEV-Updates bei Edge-Systemen und AD-Angriffe via Kerberoasting. Insgesamt 5 neue Einträge im CISA-KEV-Katalog, 3 davon mit EPSS > 80 %.
Top 5 Signale der Woche
1. Ransomware-Welle im Healthcare-Sektor (DACH)
Drei Krankenhäuser in Deutschland und Österreich wurden in 7 Tagen Opfer derselben Ransomware-Variante. Erste Anzeichen: kompromittierte VPN-Zugänge ohne MFA. Operativ: MFA-Coverage auf VPN-Gateways sofort prüfen.
2. CVE-2026-12345 — Citrix NetScaler RCE (KEV)
Siehe dedizierten CVE-Watch-Artikel. Bereits aktiv ausgenutzt.
3. Microsoft Patch Tuesday: 14 kritische CVEs
Davon 3 RCE in Office-Dokumenten ohne User Interaction. Priorität: Workstations.
4. Kerberoasting-Welle gegen schwache Service Accounts
Mehrere Telemetrie-Quellen melden gehäufte Kerberos-Anfragen mit RC4-Encryption. Operativ: AD-Service Account Passwörter > 25 Zeichen, AES-Encryption erzwingen.
5. Neue Malware-Familie "ShadowLink" in Reddit-Diskussionen
Frühe Stage-Loader gefunden, noch keine breite Verbreitung. Beobachten.
Branchenradar
- Healthcare: sehr hoch (3 Ransomware-Vorfälle)
- Finance: mittel (NetScaler-Risiko)
- Behörden: mittel (NetScaler + AD-Themen)
- Automotive: niedrig
Was Security-Teams jetzt prüfen sollten
Konkrete Action Items unten — vor allem Edge-Systeme und AD-Härtung.
Was Security-Teams jetzt prüfen sollten
- 1MFA-Coverage auf allen VPN-Gateways verifizieren
- 2Citrix NetScaler-Patches prüfen und einspielen (siehe CVE-Watch-Artikel)
- 3AD-Service Accounts: lange Passwörter (25+) und AES-only erzwingen
- 4Patch Tuesday einspielen, Office-Dokumente in Vorschau-Modus erzwingen
- 5Reddit-Threads zu "ShadowLink" als IOC-Quelle im Auge behalten
Betroffene Branchen
Betroffene Technologien
Relevante CVEs