Angriffwarnung: killsec3 zielt auf screenate - GB
Introduction
Die Ransomware-Gruppe killsec3 hat sich zu einem schwerwiegenden Angriff auf screenate, eine britische SaaS-Plattform für Personalvermittlung, bekannt. Der am 9. Dezember 2025 entdeckte Angriff wird gemäß der XC-Classify-Methodik als SIGNAL eingestuft, was auf die potenzielle Offenlegung sensibler Daten hinweist. Das 2020 gegründete Unternehmen mit ein bis zehn Mitarbeitern verwaltet kritische Informationen: detaillierte Lebensläufe, persönliche Daten von Bewerbern und Videoaufzeichnungen von Vorstellungsgesprächen. Dieser Angriff ereignet sich inmitten einer Welle von Cyberangriffen auf SaaS-Plattformen im britischen Technologiesektor, die sensible Personaldaten verarbeiten.
Die Art der potenziell offengelegten Informationen gibt Anlass zu unmittelbarer Besorgnis bei Bewerbern, die die Dienste von screenate genutzt haben. Rekrutierungsdaten sind ein Hauptziel für Cyberkriminelle und ermöglichen ausgeklügelten Identitätsdiebstahl, gezieltes Phishing und den Weiterverkauf auf dem Schwarzmarkt. Der Vorfall verdeutlicht zudem die Anfälligkeit junger Technologieunternehmen gegenüber strukturierten Ransomware-Gruppen wie killsec3, die systematisch die Sicherheitslücken schnell wachsender Organisationen ausnutzen.
Analyse détaillée
Dieser Vorfall ist Teil eines besorgniserregenden Trends, der sich im Dezember 2025 abzeichnete: Cyberkriminelle intensivieren ihre Angriffe auf Cloud-Service-Anbieter, die sensible personenbezogene Daten verarbeiten. Die technische Analyse dieses Vorfalls enthüllt die Methoden von killsec3 und die Auswirkungen auf das digitale Recruiting-Ökosystem in Großbritannien.
Das Cyberkriminellenkollektiv killsec3 operiert mit einem klassischen Double-Extortion-Ransomware-Modell, das Systemverschlüsselung und die Exfiltration sensibler Daten kombiniert. Die seit mehreren Monaten aktive Gruppe zeichnet sich durch einen opportunistischen Ansatz aus und zielt bevorzugt auf kleine und mittlere Technologieunternehmen ab, die zwar als weniger sicherheitsreif gelten, aber wertvolle digitale Assets verwalten.
Killsec3 nutzt bekannte Schwachstellen in Cloud-Infrastrukturen und ungeschützten Webanwendungen aus. Cybersicherheitsexperten beobachten, dass die Angreifer bevorzugt ungesicherte VPN-Verbindungen, schlecht geschützte Administrationsschnittstellen oder gezielte Phishing-Kampagnen gegen IT-Teams als erste Angriffsvektoren nutzen. Sobald die Gruppe ersten Zugriff erlangt hat, setzt sie Aufklärungswerkzeuge ein, um die kompromittierte Umgebung zu kartieren und kritische Daten zu identifizieren.
Die Strategie der Gruppe, sich dauerhaft im System zu halten, basiert auf der Installation von Hintertüren, die auch nach der ersten Entdeckung einen fortgesetzten Zugriff ermöglichen. Die exfiltrierten Daten werden typischerweise auf speziellen Leak-Websites veröffentlicht, um maximalen Druck auf Opfer auszuüben, die die Lösegeldzahlung verweigern. Diese „Anprangerungstaktik“ zielt darauf ab, durch die öffentliche Bloßstellung des Vorfalls und des damit verbundenen Reputationsschadens Verhandlungen zu erzwingen.
Bisherige Opfer von killsec3 weisen Gemeinsamkeiten auf: kleine, oft schnell wachsende Technologieunternehmen mit begrenzten Sicherheitsbudgets und einer starken Abhängigkeit von Cloud-Diensten. Die Gruppe scheint nicht nach einem strukturierten Ransomware-as-a-Service-Modell (RaaS) zu operieren, sondern vielmehr als autonome Einheit, die ihre eigenen Operationen koordiniert. Die Lösegeldforderungen variieren in der Regel je nach Größe des angegriffenen Unternehmens und dem Umfang der kompromittierten Daten.
Die Analyse ihrer Taktiken, Techniken und Verfahren (TTPs) zeigt eine moderate Raffinesse, aber eine enorme Effektivität gegen unvorbereitete Ziele. → Das Verständnis der Taktiken moderner Ransomware-Gruppen hilft, diese Bedrohungen vorherzusehen und die Abwehr von Organisationen gegen Akteure wie killsec3 zu stärken.
Screenate, gegründet 2020, hat sich als innovative SaaS-Lösung zur Digitalisierung und Optimierung von Rekrutierungsprozessen positioniert. Das britische Unternehmen mit 1 bis 10 Mitarbeitern bietet eine integrierte Plattform, die es Personalabteilungen ermöglicht, den gesamten Bewerbungszyklus zu verwalten: von der Veröffentlichung von Stellenanzeigen über den Empfang und die Analyse von Lebensläufen bis hin zur Planung und Aufzeichnung von Videointerviews und der gemeinsamen Bewertung von Profilen.
Screenates Wertversprechen basiert auf der Automatisierung und Zentralisierung von Kandidatendaten. Personalverantwortliche erhalten so eine einheitliche Übersicht und Analysetools zur Identifizierung von Top-Talenten. Dieser Ansatz erfordert zwangsläufig die Erfassung und Speicherung großer Mengen sensibler personenbezogener Daten: vollständige Kontaktdaten, detaillierte Berufserfahrung, akademische Qualifikationen, Anschreiben, berufliche Referenzen und audiovisuelle Aufzeichnungen von Interviews.
Screenate, mit Sitz in Großbritannien, bedient hauptsächlich britische und europäische Kunden und unterliegt daher der DSGVO (Datenschutz-Grundverordnung). Diese Verordnung verpflichtet zu strengeren Sicherheitsmaßnahmen für personenbezogene Daten und zur Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an das ICO (Information Commissioner’s Office), die britische Datenschutzbehörde.
Die geringe Größe des Unternehmens, typisch für junge Tech-Startups, wirft wichtige Fragen hinsichtlich der Reaktionsfähigkeit auf Sicherheitsvorfälle und der verfügbaren Ressourcen zur Bewältigung einer großflächigen Cyberkrise auf. Junge SaaS-Unternehmen stehen vor einem strukturellen Dilemma: Entweder sie investieren massiv in Sicherheit vor Profitabilität oder sie priorisieren Wachstum gegenüber dem Risiko kritischer Gefährdungen. → Die Sicherheitsherausforderungen von SaaS-Startups untersucht dieses Thema ausführlich.
Die potenziellen Auswirkungen dieser Datenschutzverletzung reichen weit über Screenate selbst hinaus. Kunden, die die Plattform für die Personalbeschaffung nutzen, sind indirekt betroffen, da auch Kandidaten betroffen sein können, die keine direkte vertragliche Verbindung zu dem kompromittierten Unternehmen haben. Diese Kette von Sicherheitslücken verdeutlicht die systemischen Risiken von SaaS-Modellen, die organisationsübergreifende Daten auf zentralisierten Infrastrukturen konzentrieren.
Der Vorfall vom 9. Dezember 2025 wird gemäß der von DataInTheDark entwickelten XC-Classify-Methodik als SIGNAL eingestuft. Diese Einstufung bestätigt eine Datenoffenlegung, die durch das öffentliche Bekennerschreiben der Gruppe killsec3 untermauert wird. Umfang und genaue Art des Vorfalls werden jedoch noch untersucht. Die Stufe SIGNAL unterscheidet sich von höheren Stufen (PARTIAL, FULL) durch das Fehlen umfassender öffentlicher Beweise für ein Datenleck, bestätigt aber dennoch eine tatsächliche Kompromittierung von Systemen.
Die potenziell durch diesen Angriff offengelegten Daten sind aus mehreren Gründen besonders sensibel. Die Lebensläufe enthalten vollständige Identifikationsdaten: Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und je nach Rechtsordnung auch Sozialversicherungsnummern oder vergleichbare Angaben. Die Beschäftigungsverläufe geben Auskunft über aktuelle und frühere Arbeitgeber, Beschäftigungszeiträume, Verantwortlichkeiten und Gründe für das Ausscheiden aus dem Unternehmen und zeichnen so ein detailliertes Bild der individuellen Karrierewege.
Videoaufzeichnungen von Vorstellungsgesprächen stellen eine besonders sensible Form der Offenlegung dar. Diese Dateien erfassen nicht nur die verbalen Antworten der Kandidaten, sondern auch ihre Mimik, ihr persönliches Umfeld (sichtbarer Hintergrund) und können sensible Informationen preisgeben, die während des Gesprächs besprochen wurden: familiäre Situation, gesundheitliche Einschränkungen, Gehaltsvorstellungen und Beweggründe für einen Berufswechsel. Solche Daten eignen sich besonders gut für Deepfake-Angriffe oder ausgeklügelten Identitätsdiebstahl.
Die XC-Classify-Methodik bewertet diesen Vorfall anhand mehrerer kritischer Kriterien. Der zugehörige NIST-Score, der aus Gründen der Vertraulichkeit nicht öffentlich zugänglich gemacht wird, berücksichtigt Faktoren wie die geschätzte Anzahl der Betroffenen, die Sensibilität der Daten (personenbezogene Daten vs. öffentliche Daten), das Schadenspotenzial (Identitätsdiebstahl, Diskriminierung, Erpressung) und die Leichtigkeit der Ausnutzung durch Dritte.
Questions Fréquentes
When did the attack by killsec3 on screenate occur?
The attack occurred on December 9, 2025 and was claimed by killsec3. The incident can be tracked directly on the dedicated alert page for screenate.
Who is the victim of killsec3?
The victim is screenate and operates in the technology sector. The company is located in United Kingdom. You can search for screenate's official website. To learn more about the killsec3 threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on screenate?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on screenate has been claimed by killsec3 but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Der zeitliche Ablauf des Vorfalls deutet auf eine Entdeckung am 9. Dezember 2025 hin, erlaubt aber keine eindeutige Bestimmung des Datums der ersten Kompromittierung. Die Erfahrung zeigt, dass Ransomware-Gruppen typischerweise mehrere Wochen lang eine diskrete Präsenz aufrechterhalten, bevor sie die Verschlüsselung endgültig aktivieren und sich öffentlich zu den Taten bekennen. In dieser Zeit findet die Datenexfiltration schrittweise statt, um einer Entdeckung durch Netzwerküberwachungssysteme zu entgehen.