MalwareHackerangriffeRansomware

Microsoft zerschlägt Malware-Signing-Dienst: Fox Tempest-Netzwerk wird zerlegt

Von CyberDeutsch Redaktion
Microsoft zerschlägt Malware-Signing-Dienst: Fox Tempest-Netzwerk wird zerlegt
Zusammenfassung

Microsoft hat eine bedeutende Cyberkriminalitätsoperation zerschlagen: Die Sicherheitsforscher des Unternehmens haben die Aktivitäten von „Fox Tempest" unterbrochen, einer Bedrohungsgruppe, die einen Malware-Signing-Service betrieben hat. Dieser illegale Dienst ermöglichte es Cyberkriminellen, Schadprogramme mit gefälschten, aber gültigen Code-Signaturzertifikaten auszustatten und diese als legitime Software zu tarnen, um Sicherheitssysteme zu umgehen. Fox Tempest hatte über tausend Zertifikate erstellt und hunderte Azure-Mandanten missbraucht, um Ransomware wie Rhysida und Qilin sowie Stealer-Malware zu verbreiten. Die Auswirkungen waren weitreichend: Angreifer nutzten den Service, um Organisationen in Branchen wie Gesundheitswesen, Bildung, Behörden und Finanzsektor global anzugreifen – auch in Deutschland könnten Unternehmen und öffentliche Institutionen betroffen sein. Microsoft hat Tausende Zertifikate widerrufen, kritische Infrastruktur beschlagnahmt und eine Klage eingereicht. Der Fall unterstreicht die wachsende Bedrohung durch professionalisierte Cyberkriminalitäts-Dienstleistungen und die Notwendigkeit verstärkter Sicherheitsmaßnahmen für deutsche Organisationen, um sich gegen solche hochentwickelten Angriffsmethoden zu schützen.

Die Zerschlagung des Fox-Tempest-Netzwerks zeigt die Mechanismen moderner Cyberkriminalität auf erschreckende Weise. Der Dienst funktionierte nach dem Prinzip „Malware-Signing-as-a-Service” (MSaaS): Kriminelle konnten gegen Tausende Dollar kurzfristige Code-Signing-Zertifikate erwerben, um ihre Schadsoftware als legitim erscheinende Programme zu tarnen. Dies ist besonders tückisch, da viele Sicherheitssysteme signierte Software bevorzugt behandeln.

Microsoft dokumentiert ein beeindruckendes Ausmaß der kriminellen Infrastruktur: Fox Tempest erstellte über tausend Zertifikate und verwaltete hunderte Azure-Tenants. Der Konzern revozierte alle identifizierten Code-Signing-Zertifikate und sperrte die zugehörigen Konten. Nach Microsofts Einschätzung verdiente die Gruppe mit dieser Dienstleistung Millionen Dollar.

Besonders bemerkenswert ist die Bandbreite der ausgelieferten Malware. Neben gefürchteter Ransomware wie Rhysida, Qilin und Akira verteilte Fox Tempest auch Info-Stealing-Malware wie Lumma Stealer und Vidar. Die downstream-Effekte waren verheerend: Vom September 2025 bis zur Deaktivierung wurden Angriffe auf Einrichtungen des Gesundheitswesens, der Bildung, der öffentlichen Verwaltung und des Finanzsektors dokumentiert.

Microsoft wählte einen rechtsstaatlichen Weg zur Bekämpfung: Das Unternehmen reichte eine Klage gegen Fox Tempest und die verbundene Gruppe Vanilla Tempest ein und beschlagnahmte dabei zentrale Infrastruktur. Solche Klagen sind im Kampf gegen Cyberkriminalität effektiv, da sie es ermöglichen, böswillige Domains zu sperren und Provider zur Abschaltung zu verpflichten.

Diese Operation reiht sich in eine Serie ähnlicher Maßnahmen ein: Microsoft deaktivierte bereits RedVDS, RaccoonO365 und Tycoon 2FA. Allerdings zeigen nachfolgende Berichte, dass einige dieser Netzwerke hartnäckiger sind als erwartet.

Für Deutschland und Europa unterstreicht dieser Fall die Kritikalität robuster Code-Signing-Praktiken. Das BSI empfiehlt Organisationen dringend, die Vertrauenswürdigkeit von Software rigoros zu überprüfen und nicht allein auf digitale Signaturen zu verlassen. Unternehmen sollten zudem ihre Meldepflichten nach DSGVO ernst nehmen, falls sie von solcher Malware betroffen werden.

Ähnliche Artikel