ScreenConnect

Staatliche Hacker greifen ConnectWise-Infrastruktur an

Hacker
LinkedInRedditWhatsAppPocket

Eine vermutlich staatlich finanzierte Hackergruppe hat die Systeme des IT-Dienstleisters ConnectWise angegriffen.

Der Angriff betraf nach Firmenangaben nur wenige Nutzer der Remote-Software ScreenConnect. ConnectWise räumte in einer kurzen Mitteilung “verdächtige Aktivitäten” in der eigenen IT-Infrastruktur ein. Das Unternehmen aus Florida geht davon aus, dass ein “hochentwickelter nationalstaatlicher Akteur” hinter dem Einbruch steckt. Die betroffenen Kunden seien bereits benachrichtigt worden.

Anzeige

ScreenConnect ermöglicht Fernwartung und Remote-Zugriff auf Computer und wird häufig von IT-Dienstleistern eingesetzt. Die Software geriet bereits mehrfach ins Visier von Cyberkriminellen, die über kompromittierte Instanzen Unternehmensnetzwerke infiltrierten. Typische Angriffsziele sind Datendiebstahl und die Verbreitung von Ransomware.

Forensik-Experten eingeschaltet

Bei der Aufklärung des Sicherheitsvorfalls arbeitet ConnectWise mit Mandiant zusammen. Parallel dazu laufen Ermittlungen der Strafverfolgungsbehörden. Das Unternehmen hat nach eigenen Angaben zusätzliche Sicherheitsmaßnahmen implementiert und die Überwachung seiner Systeme verstärkt.

“Wir haben keine weiteren verdächtigen Aktivitäten in Kundenumgebungen festgestellt”, teilte ConnectWise mit. Man beobachte die Lage weiterhin und werde bei Bedarf weitere Details kommunizieren.

Anzeige

Schwachstelle seit April gepatcht

Nutzerberichten zufolge fand der Cyberangriff bereits im November 2024 statt. Als Einfallstor diente offenbar die Sicherheitslücke CVE-2025-3935, die ScreenConnect-Installationen bis Version 25.2.3 für Code-Injection-Attacken anfällig machte. Über die Schwachstelle konnten Angreifer Schadcode auf betroffenen Servern ausführen.

ConnectWise veröffentlichte entsprechende Sicherheitsupdates am 24. April, nachdem Microsoft auf das Problem hingewiesen hatte. Der Windows-Hersteller hatte Ende 2024 beobachtet, wie Cyberkriminelle öffentlich verfügbare ASP.NET-Schlüssel für Angriffe missbrauchten. Betroffen sind grundsätzlich alle Anwendungen, die auf ASP.NET-ViewStates setzen.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

KI im Klassenzimmer: Fluch oder Segen?
Cyberangriff in Ellwangen – Minderjähriger steht unter Verdacht
Keeper Security führt One-Time-Sharing für Passwörter ein
Nachhaltigkeit: NCP erhält EcoVadis-Auszeichnung
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.