PhishingHackerangriffeCloud-Sicherheit

Cyberkriminelle nutzen Voice-Phishing und SSO-Missbrauch für schnelle SaaS-Erpressungsangriffe

Von CyberDeutsch Redaktion
Cyberkriminelle nutzen Voice-Phishing und SSO-Missbrauch für schnelle SaaS-Erpressungsangriffe
Zusammenfassung

Zwei Cybercrime-Gruppen führen derzeit massive Extortions-Anschläge gegen SaaS-Umgebungen durch und hinterlassen dabei kaum nachvollziehbare Spuren. Die Banden Cordial Spider und Snarky Spider nutzen Voice-Phishing-Attacken, um Nutzer auf gefälschte Single-Sign-On-Seiten zu locken, wo sie Authentifizierungsdaten stehlen und anschließend direkt in SaaS-Anwendungen eindringen. Besonders tückisch ist ihre Methode: Sie operieren fast ausschließlich innerhalb vertrauter Cloud-Umgebungen wie Google Workspace, Salesforce und Microsoft SharePoint, wodurch sie ihre digitalen Fußabdrücke minimieren. Nach erfolgreicher Kompromittierung manipulieren die Angreifer Geräteregistrierungen, unterdrücken Sicherheitsbenachrichtigungen und escalieren zu hochprivilegierten Konten, um wertvolle Geschäftsdaten zu exfiltrieren. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, da die Angreifer gezielt auf Betriebe im Einzelhandel und Gastgewerbe abzielen. Die Gefahr ist besonders groß für Organisationen, die stark auf Cloud-Services setzen, da ein kompromittierter SSO-Zugang Zugriff auf das gesamte Ökosystem bietet. Experten warnen, dass traditionelle Sicherheitsmaßnahmen durch die schnelle Operationsweise und die Nutzung legitimer Infrastruktur leicht überwunden werden.

Die Angriffsweise der beiden Gruppen folgt einem ausgefeilten Muster: Sie nutzen Voice-Phishing, um Mitarbeiter auf bösartige, SSO-ähnliche Phishing-Seiten zu locken. Dort werden Authentifizierungsdaten und Multi-Faktor-Authentifizierung (MFA) -Codes abgegriffen. Dieser Zugang wird dann direkt zum Eindringen in SaaS-Anwendungen genutzt.

Cordial Spider, auch unter den Namen BlackFile, UNC6671 und O-UNC-045 bekannt, und Snarky Spider (UNC6661, O-UNC-025) sind seit mindestens Oktober 2025 aktiv. Letztere wird als englischsprachiges Team eingestuft und hat Verbindungen zum E-Crime-Ökosystem “The Com”. Mandiant hatte bereits im Januar 2026 gewarnt, dass diese Gruppen Taktiken einsetzen, die denen der ShinyHunters-Gruppe ähneln.

Nach erfolgreicher Credential-Kompromittierung registrieren die Angreifer neue Geräte, um die MFA zu umgehen. Parallel entfernen sie bestehende Geräte und konfigurieren Postfach-Regeln, um automatische Benachrichtigungen über nicht autorisierte Geräteanmeldungen zu löschen. Dies verschafft ihnen ungestörten Zugriff.

Danach beginnt die Skalierungsphase: Durch Social Engineering und das Auslesen interner Mitarbeiterverzeichnisse zielen die Angreifer auf hochprivilegierte Accounts ab. Mit erhöhten Rechten greifen sie dann auf die Identity Provider (IdP) zu – der kritische Single Point of Entry in die gesamte SaaS-Infrastruktur. Dies ermöglicht ihnen, über eine authentifizierte Sitzung lateral durch alle verbundenen Anwendungen zu navigieren.

Besonders gefährlich: Sie durchsuchen gezielt nach hochwertvollen Dateien und geschäftskritischen Berichten in Google Workspace, HubSpot, Microsoft SharePoint und Salesforce, um diese dann zu exfiltrieren. Palo Alto Networks Unit 42 berichtet, dass CL-CRI-1116 seit Februar 2026 aktiv den Einzelhandels- und Gastgewerbesektor angreift – unter Einsatz von Living-off-the-Land-Techniken und Residential Proxies, um ihre geografische Herkunft zu verschleiern.

Für deutsche Unternehmen heißt das: Verstärkte Kontrollen bei der Geräteverwaltung, Schulung zum Erkennen von Voice-Phishing und die Überwachung von SSO-Aktivitäten sind essentiell. Das BSI empfiehlt zusätzlich die Implementierung von risikobasierter Authentifizierung und das Monitoring ungewöhnlicher IdP-Aktivitäten.

Ähnliche Artikel