RansomwareSchwachstellenHackerangriffe

Kritische cPanel-Lücke: 44.000 Server von "Sorry"-Ransomware befallen

Von CyberDeutsch Redaktion
Kritische cPanel-Lücke: 44.000 Server von "Sorry"-Ransomware befallen
Zusammenfassung

Eine kritische Sicherheitslücke in cPanel und WHM wird seit Ende Februar in großem Stil ausgenutzt, um tausende Webseiten mit der „Sorry"-Ransomware zu verschlüsseln. Die als CVE-2026-41940 registrierte Schwachstelle ermöglicht es Angreifern, sich ohne gültige Authentifizierung Zugriff auf die Kontrollpanels zu verschaffen, die weltweit für die Verwaltung von Webservern und Websites eingesetzt werden. Laut dem Sicherheitsunternehmen Shadowserver wurden bereits mindestens 44.000 IP-Adressen mit cPanel-Installation kompromittiert. Die neue, Linux-spezifische Sorry-Ransomware verschlüsselt Dateien mit dem ChaCha20-Cipher und RSA-2048-Verschlüsselung, ohne dass Opfer ohne den privaten Schlüssel eine Entschlüsselung erwarten können. Für deutsche Unternehmen, Webhoster und Website-Betreiber stellt diese Bedrohung ein erhebliches Risiko dar, da cPanel auch in Deutschland weit verbreitet ist. Betroffen sind insbesondere kleine und mittlere Unternehmen, die auf gehostete Lösungen angewiesen sind. Die Sicherheitscommunity warnt vor einer Eskalation der Angriffe in den kommenden Wochen und empfiehlt allen cPanel- und WHM-Nutzern dringend, sofort die verfügbaren Sicherheits-Updates einzuspielen.

Die Lage ist ernst: Eine Authentifizierungslücke in cPanel und WHM wird seit Ende Februar aktiv als Zero-Day ausgenutzt – noch bevor cPanel ein Patch veröffentlichte. Unmittelbar nach der Veröffentlichung des Notfall-Updates begannen Hacker massenhaft, die Schwachstelle zu exploitieren.

Die betroffene Software ist in der Hosting-Branche weit verbreitet. WHM (WebHost Manager) bietet Server-Level-Kontrolle, während cPanel Administratoren Zugriff auf Website-Backends, Webmail und Datenbanken ermöglicht. Eine Authentifizierungslücke bedeutet praktisch: Angreifer können diese Kontrollen komplett übernehmen.

Die “Sorry”-Ransomware im Detail

Die Ransomware-Kampagne nutzt einen speziell für Linux entwickelten Go-basierten Verschlüsseler. Jede befallene Datei erhält die Endung “.sorry”. Besonders bemerkenswert ist die Verschlüsselungsmethode: ChaCha20-Stream-Cipher kombiniert mit RSA-2048-Schlüsseln. Der Sicherheitsexperte Rivitna warnt unmissverständlich: “Ohne den privaten RSA-2048-Schlüssel ist eine Entschlüsselung unmöglich.”

In jedem Verzeichnis hinterlassen die Angreifer eine README.md-Erpressernachricht mit derselben Tox-ID für alle Opfer: “3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724”. Dies zeigt die industrielle Skalierung der Attacke – nicht maßgeschneidert pro Opfer, sondern vollautomatisiert.

Massive Ausbreitung dokumentiert

Hunderte kompromittierte Websites sind bereits in Google-Suchergebnissen indexiert. Die Angriffe begannen diese Woche und werden sich in den kommenden Tagen und Wochen vermutlich noch intensivieren. Shadowserver dokumentierte mindestens 44.000 befallene cPanel-Server.

Für deutsche Webhoster und Unternehmen mit Hosting-Infrastruktur ist dies ein kritischer Notfall. Verzögerungen beim Patching bedeuten hohe Risiken für Datenverlust und potenziell massive DSGVO-Meldepflichten nach Artikel 33, die innerhalb von 72 Stunden notwendig werden.

Sofortmaßnahmen erforderlich

Das Sicherheits-Update für cPanel und WHM muss sofort installiert werden. Der BSI wird diese Lücke sicherlich in seine Warnmeldungen aufnehmen. Jeder Tag ohne Patch erhöht das Risiko exponentiell, da die Exploitations-Tools bereits verbreitet sind.

Wer bereits betroffen ist, sollte sich bewusst machen: Eine Wiederherstellung ohne den privaten RSA-2048-Schlüssel ist praktisch unmöglich. Backups und Notfall-Pläne sind jetzt kritisch.

Ähnliche Artikel