A9 STUDIO – shutterstock.com
Colt Technology Services, ein britischer Telekommunikationskonzern, der 900 Rechenzentren in Europa, Asien und Nordamerika miteinander verbindet, wurde am 12. August 2025 Opfer eines Cyberangriffs.
Der Fall wurde zunächst als „technisches Problem” bezeichnet. Inzwischen hat das Unternehmen jedoch den Angriff bestätigt und seine interne Support-Systeme, darunter sein Online-Portal und seine Voice-API-Plattform, abgeschaltet. Ziel ist es, die Infrastruktur der Kunden zu schützen.
„Wir bedauern sehr, dass einige unserer Support-Systeme, darunter Colt Online und unsere Voice-API-Plattform, weiterhin nicht verfügbar sind”, erklärte der TK-Gigant in einer Stellungnahme. „Als Vorsichtsmaßnahme nach einem Cybervorfall, der Anfang dieser Woche unsere internen Systeme beeinträchtigt hat, haben wir diese Dienste vorübergehend offline genommen.” Laut Colt sei jedoch nicht auf Kunden- oder Mitarbeiterdaten zugegriffen worden.
Gestohlene Daten stehen zum Verkauf
Unterdessen hat ein Angreifer, der behauptet, mit der Ransomware-Bande WarLock in Verbindung zu stehen und den Decknamen „cnkjasdfgd“ verwendet, öffentlich die Verantwortung für den Angriff übernommen. Die Gruppe bietet eine Million Dokumente zum Verkauf an, die angeblich sensible Daten wie Finanzunterlagen, interne E-Mails, Informationen von Mitarbeitern und Führungskräften sowie zur Systemarchitektur enthalten sollen.
Auch Gehaltsdaten, Kundenkontaktdaten, interne Kommunikation und Softwareentwicklungspläne zählen angeblich dazu. Zusammen mit der Lösegeldforderung in Höhe von 200.000 Dollar haben die Hacker als Beweis Musterdokumente bereitgestellt, die veröffentlicht werden könnten, wenn Colt nicht zahlt.
Colt: Kernnetzwerk nicht betroffen
In seinen öffentlichen Updates zu dem Vorfall betonte Colt, dass die Kerninfrastruktur des Netzwerks unberührt geblieben sei und lediglich Support-Systeme vorsichtshalber offline genommen worden seien. Das Unternehmen betonte, dass es weiterhin „in der Lage ist, Kundennetzwerke zu überwachen und Vorfälle effizient zu bearbeiten“, auch wenn dies aufgrund der Ausfälle der automatisierten Überwachungssysteme manuell erfolgen müsse.
Sicherheitsexperten vermuten, dass der Angriff über eine kürzlich gepatchte Schwachstelle in Microsoft SharePoint, CVE-2025-53770 erfolgte. Forscher wie Kevin Beaumont vermuten, dass die Angreifer bestehende SharePoint-Sicherheitspatches umgangen haben könnten, möglicherweise mit Hilfe einer als ToolShell bekannten Exploit-Kette, um Remote-Code auszuführen und Web-Shells für einen tieferen Zugriff zu installieren.
In den Wochen nach seiner Entdeckung wurde der SharePoint-ToolShell-Exploit in einer schnell eskalierenden Angriffswelle als Waffe eingesetzt. Zu den prominenten Opfern zählen die US-Behörde für nukleare Sicherheit (National Nuclear Security Administration), die National Institutes of Health (NIH) und das Ministerium für innere Sicherheit (Department of Homeland Security). Alle erlitten Angriffe durch die mit China in Verbindung stehenden Hackergruppe Storm-2603.
„Colt wird seit mehr als einer Woche von der Ransomware-Gruppe WarLock erpresst und hat versucht, dies zu vertuschen“, schrieb Beaumont kürzlich auf Mastodon. „Der Zugriff erfolgte wahrscheinlich über sharehelp.colt.net über CVE-2025-53770, da die Angreifer damit interagierten.“ Beaumont fügte hinzu, dass die Gruppe mehrere hundert Gigabyte an Kundendaten und Dokumentationen gestohlen habe, und veröffentlichte eine Liste von Dateien mit Beispielen auf einer russischen Tor-Website.
„Wir haben bereits in diesem Jahr gesehen, dass Telekommunikationsunternehmen besonders anfällig für Angriffe sind. Dieser WarLock-Angriff [JD2] verdeutlicht einige wiederkehrende Probleme, mit denen solche Unternehmen und große Netzwerkanbieter zunehmend konfrontiert sind“, kommentierte Gabrielle Hempel, Security Operations Strategist bei Exabeam. „Wenn man als Dienstleister tätig ist und Support-Layer-Services ausfallen, kommt es zu einem operativen Dominoeffekt. Auch wenn Colt behauptet, dass seine „Kernnetzwerkinfrastruktur“ noch intakt ist, beeinträchtigt der Ausfall von Hosting-, Porting- und API-Services dennoch das Vertrauen der Kunden und die nachgelagerten Abläufe.“
Nach Meinung des Security-Spezialisten lenkt der Vorfall den Fokus wieder auf die Zeitpläne für Patches. „Ein SharePoint-RCE oder etwas ähnlich Schwerwiegendes muss bei extern zugänglichen Systemen in Stunden und nicht in Wochen gemessen werden. Für Anbieter kritischer Infrastrukturen müssen RCE-Patch-Pipelines priorisiert und, wo immer möglich, für internetfähige Dienste automatisiert werden.“ Bemerkenswert ist, dass Microsoft einen unvollständigen Patch für CVE-2025-53770 bereitgestellt hatte, bevor die Schwachstelle im Juli vollständig geschlossen wurde, wodurch in der Zwischenzeit der Weg für massenhafte Exploits frei war. (jm)
No Responses