In Litauen sorgt ein großangelegter Diebstahl von mehr als 600.000 Datensätzen aus einem staatlichen Register für Aufsehen und Sicherheitsbedenken. Staatspräsident Gitanas Nauseda bezeichnete den Vorfall nach einer Sitzung des Nationalen Sicherheitsrates als eine Angelegenheit der nationalen Sicherheit. „Es gibt Anzeichen dafür, dass es sich um einen von feindlichen Staaten organisierten Cyberangriff handelte“, sagte er einem Bericht des litauischen Rundfunks zufolge. Nähere Angaben dazu machte das Staatsoberhaupt des baltischen EU- und Nato-Landes nicht.

Präsident spricht von Cyberangriff

Die Generalstaatsanwaltschaft in Vilnius hatte zuvor Ende vergangener Woche über ein schweres Datenleck beim staatlichen Registerzentrum informiert, das für die amtlichen Register und Bürgerdatenbanken zuständig ist. Betroffen gewesen sei vor allem das Immobilienregister und das Register juristischer Personen. Unbekannte hatten demnach Zugangsdaten von einer Behörde genutzt, die eigentlich zum Abruf dieser Informationen berechtigt gewesen seien. Der Leiter des Zentrums ist deshalb von seinem Posten zurückgetreten, die Behörde reagierte mit zusätzlichen Cybersicherheitsmaßnahmen.

Was geschehen ist, sei unerträglich und dürfe sich nicht wiederholen, sagte Nauseda. Weiter kritisierte das Staatsoberhaupt des 2,8-Millionen-Einwohner-Landes die Regierung für die verzögerte Bekanntgabe des Vorfalls, der sich bereits Ende März zugetragen habe. Dass die Öffentlichkeit erst ein bis zwei Monate später darüber informiert wurde, sei nicht zu rechtfertigen, sagte der nach eigenen Angaben selbst vom Datenleck betroffene Präsident.

Sorge vor Betrug und Identitätsdiebstahl

Nach Angaben des Zentrums seien Daten aus Grundbuchauszügen – Namen, Nachnamen, Personenkennziffern, Geburtsdaten und Informationen zu Immobilien – entwendet worden. Bislang gebe es nach Angaben von Nauseda keine Hinweise darauf, dass die gestohlenen Daten dazu verwendet wurden, um Personen Schäden oder finanzielle Verluste zuzufügen. Weiterhin besteht aber das Risiko, dass sie von Betrügern missbraucht werden könnten.

(dmk)

Im LiteSpeed-Plugin für cPanel klafft eine Sicherheitslücke, die der Hersteller als kritisch einstuft. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt, dass Angriffe darauf beobachtet wurden. Aktualisierte Software steht bereit.

Die CISA nennt in ihrer Warnung lediglich die attackierte Schwachstelle. Details zu Art und Umfang der Angriffe verrät die Behörde jedoch nicht. Ein eigener Blogbeitrag von LiteSpeed liefert mehr Informationen. Darin stuft das Unternehmen das Update auf Version 2.4.7 oder neuer als dringend ein; seit Version 2.4.5 des Plugins ist das Leck gestopft. Es bessert eine Schwachstelle aus, die das End-User-Plugin für cPanel betrifft. Es handelt sich um ein Leck, das Angreifern das Ausweiten der Rechte ermöglicht. Jeder cPanel-User kann den Fehler in der Funktion lsws.redisAble missbrauchen, um beliebigen Code als root auszuführen (CVE-2026-48172, CVSS 9.8, Risiko „kritisch“). Die Lücke wird demnach in freier Wildbahn bereits angegriffen, verwundbar sind die Versionen 2.3 bis 2.4.4 des Plugins für cPanel.

Prüfung auf erfolgreiche Angriffe

LiteSpeed liefert auch einen Befehl mit, mit dem Admins prüfen können, ob der eigene Server betroffen ist:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Kommt kein Ergebnis zurück, wurde der Server nicht angegriffen. Sofern jedoch Ausgaben erscheinen, sollten IT-Verantwortliche prüfen, ob die IPs zulässig sind und sie gegebenenfalls blockieren. Außerdem sollten in dem Fall die Systemprotokolle untersucht werden, ob die Angreifer Veränderungen vorgenommen haben. Das hilft natürlich nur in den Fällen, in denen Angreifer ihre Spuren nicht verwischt und etwa die Logs bereinigt haben.

cPanel-Admins haben im Mai bereits mehrmals Software-Updates installieren müssen. Vor rund zwei Wochen haben Sicherheitspatches etwa Codeschmuggel-Lücken in der Webserver- und Verwaltungssoftware cPanel und WebHost Manager (WHM) geschlossen.

(dmk)

Ermittler sind im Auftrag der bei der Staatsanwaltschaft Köln angesiedelten Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) bundesweit gegen mutmaßliche Akteure eines kriminellen Netzwerks vorgegangen, bei dem mittels Darknet internationaler Drogenhandel und Geldwäsche über Nagelstudios betrieben wurde. Wie die Behörden mitteilten, durchsuchten mehr als 400 Einsatzkräfte in Nordrhein-Westfalen und Hessen insgesamt 40 Objekte. Acht Personen wurden festgenommen.

An den Maßnahmen beteiligt waren neben dem Bundeskriminalamt (BKA) auch der Zoll sowie das Landesamt zur Bekämpfung der Finanzkriminalität Nordrhein-Westfalen (LBF NRW). Unterstützt wurden sie von der Bundespolizei sowie den Landespolizeien Hessen und Nordrhein-Westfalen.

Die Ermittlungen beziehen sich laut Staatsanwaltschaft nicht auf einen einzelnen Darknet-Marktplatz, sondern auf zahlreiche Plattformen. Auf Nachfrage von heise online nannte die Staatsanwaltschaft Köln dabei auch mehrere bereits aus früheren Ermittlungen und internationalen Strafverfolgungsmaßnahmen bekannte Plattformen wie Nemesis, Kingdom Market, AlphaBay, Archetyp, Incognito, Bohemia, ASAP, Tor2Door, White House Market und Empire Market. Manche davon waren schon früher beschlagnahmt, wurden dann aber wieder aktiv.

Nach Angaben der Ermittler sollen mehrere Beschuldigte seit mindestens Juli 2020 unter verschiedenen Namen weltweit Betäubungsmittel über Darknet-Marktplätze vertrieben haben. Die Gruppe soll unter anderem mit Amphetamin, Ecstasy, Cannabis, Haschisch, Kokain sowie Benzodiazepinen gehandelt und die Drogen per Post verschickt haben. Drei der identifizierten mutmaßlichen Gruppenmitglieder wurden festgenommen.

Bei den Durchsuchungen stellten die Ermittler Bargeld in mindestens fünfstelliger Höhe, Kryptovermögen, mehrere Kilogramm Betäubungsmittel sowie zwei Schusswaffen sicher. Die Auswertung der beschlagnahmten Datenträger und der über die Plattformen abgewickelten Verkäufe dauert an.

Den Ermittlungen zufolge sollen die Verdächtigen mit dem Drogenhandel mehrere Millionen Euro in Kryptogeld erwirtschaftet haben. Zwei weitere Beschuldigte sollen anschließend als eine Art Crime-as-a-Service-Dienstleister die Umwandlung in Bargeld organisiert haben. Einer von ihnen wurde ebenfalls festgenommen.

Internationales Underground-Banking-Netzwerk

Das Vermögen wurde nach bisherigen Erkenntnissen an ein „internationales Underground-Banking-Netzwerk“ weitergeleitet. Dieses soll Bargeldtransfers zwischen Deutschland und Vietnam organisiert haben. In diesem Zusammenhang ermitteln die Behörden gegen neun vietnamesische Staatsangehörige. Vier von ihnen wurden am Mittwoch festgenommen. Ihnen wird unter anderem die Bildung einer kriminellen Vereinigung zur unerlaubten Erbringung von Finanztransaktionsgeschäften vorgeworfen.

„Das Bargeld stammt von vietnamesischen Staatsangehörigen, die in Deutschland Nagelstudios oder Restaurants betreiben oder in diesen illegal arbeiten“, heißt es in der Pressemitteilung. Seit November 2025 seien nachweislich mehr als sieben Millionen Euro Bargeld eingesammelt worden. Über Krypto-Wallets des Hauptbeschuldigten sollen zwischen November 2025 und Mai 2026 zudem Transaktionen von mehr als 100 Millionen Euro geflossen sein.

(mack)