MalwareHackerangriffeRansomware

Microsoft zerschlägt Fox Tempest: Millionen-Dollar-Plattform für gefälschte Malware-Zertifikate

Von CyberDeutsch Redaktion
Microsoft zerschlägt Fox Tempest: Millionen-Dollar-Plattform für gefälschte Malware-Zertifikate
Zusammenfassung

Microsoft hat eine kritische Plattform namens Fox Tempest zerschlagen, die seit Mai 2025 als „Malware-Signing-as-a-Service" (MSaaS) fungierte und Cyberkriminelle dabei half, ihre schädliche Software als legitim zu tarnen. Die Plattform missbrauchte Microsofts Artifact-Signing-Dienst, um gefälschte Code-Signing-Zertifikate zu erstellen, die es Ransomware-Gangs wie Rhysida, INC, Qilin und Akira ermöglichten, ihre Malware unentdeckt durch Sicherheitsvorkehrungen zu schleusen. Durch die Verfälschung bekannter Software wie AnyDesk, Teams oder Webex konnten Angreifer Tausende von Maschinen weltweit infizieren. Microsoft hat die Website beschlagnahmt, hunderte virtuelle Maschinen offline genommen und über 1.000 gefälschte Zertifikate widerrufen. Die Störmaßnahme ist für deutsche Nutzer und Unternehmen relevant, da Fox Tempest mit modernen, hochentwickelten Angriffstools auch deutsche Organisationen bedroht hat. Das Geschäftsmodell zeigt die zunehmende Professionalisierung des Cybercrime-Ökosystems, bei dem Angreifer bereit sind, tausende Dollar für spezialisierte Dienste auszugeben, die Angriffe einfacher, schwerer zu erkennen und erfolgreicher machen.

Gefälschte Legitimität als Geschäftsmodell

Fox Tempest war kein Amateur-Projekt, sondern eine gut organisierte kriminelle Infrastruktur mit mehreren Abteilungen: eine für Infrastruktur-Aufbau, eine für Kundenbetreuung und eine für finanzielle Transaktionen. Das Geschäftsmodell war einfach, aber effektiv: Cyberkriminelle luden ihre Malware hoch, Fox Tempest signierte sie mit gefälschten, kurzlebigen Zertifikaten, und die Schadsoftware passierte danach mühelos Sicherheitskontrollen.

Microsoft zufolge erstellte Fox Tempest über 1.000 Code-Signing-Zertifikate und betrieb hunderte Azure-Tenants und Subscriptions. Über 1.000 dieser Zertifikate wurden inzwischen widerrufen. Die Plattform ermöglichte es Ransomware-Gangs wie Rhysida, INC, Qilin und Akira, Malware-Familien wie Oyster, Lumma Stealer und Vidar zu verbreiten — oft getarnt als vertrauenswürdige Software wie AnyDesk, Teams oder Webex.

Weltweite Auswirkungen und deutsche Relevanz

Die Analysen von Kryptowährungstransaktionen zeigen, dass Fox Tempest Millionen Dollar verdient hat. Attacken zielten auf Organisationen in den USA, China, Frankreich und Indien ab. Für deutsche Unternehmen und Behörden ist dies ein Weckruf: Ohne strikte Kontrollen von Software-Quellen hätten auch sie über diese Plattform infiziert werden können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) würde solche Vorfälle unter die Meldepflicht der DSGVO fallen lassen — besonders wenn personenbezogene Daten exponiert wurden, drohen Bußgelder bis 4 Prozent des Jahresumsatzes.

Microsoft-Maßnahmen und Implikationen

Microsoft beschlagnahmte Fox Tempests Website, nahm hunderte virtuelle Maschinen offline und blockierte den Zugang zu den dahinterstehenden Code-Repositories. Das Unternehmen sammelte sogar Kommunikationen von Cyberkriminellen, die über die Disruption klagten.

Was bemerkenswert ist: Fox Tempest gehört zu einer neuen Generation von kriminellen Diensten. Im Gegensatz zu günstigen Infrastruktur-Anbietern wie RedVDS (24 Dollar pro Monat) zahlten Kriminelle bei Fox Tempest Tausende Dollar für premium Funktionen. Diese Bereitschaft, mehr zu investieren, zeigt, wie professionell und segmentiert die Cyberkriminalität geworden ist.

Steven Masada, Assistant General Counsel bei Microsofts Digital Crimes Unit, betont: “Wenn Angreifer bösartige Software legitim aussehen lassen können, untergraben sie das Vertrauen in Sicherheitssysteme. Fox Tempest zu zerstören ist entscheidend, um die Kosten von Cyberkriminalität zu erhöhen.”

Für deutsche Sicherheitsexperten und Unternehmen bleibt die Lektion klar: Code-Signierung allein ist keine Garantie für Sicherheit. Mehrschichtiger Schutz, Netzwerk-Segmentierung und kritisches Hinterfragen von Softwarequellen bleiben unverzichtbar.

Ähnliche Artikel