MalwareHackerangriffeRansomware

Microsoft zerschlägt kriminelles Malware-Signatur-Netzwerk: Tausende Systeme gefährdet

Von CyberDeutsch Redaktion
Microsoft zerschlägt kriminelles Malware-Signatur-Netzwerk: Tausende Systeme gefährdet
Zusammenfassung

Microsoft hat eine international tätige Cyberkriminalorganisation zerschlagen, die Tausende von Computern und Netzwerken weltweit mit Ransomware und weiterer Schadsoftware infiziert hat. Die Gruppe Fox Tempest bot einen illegalen Dienst an, mit dem Kriminelle Malware als legitime Software tarnen konnten – indem sie gestohlene digitale Zertifikate von Microsofts eigenem Codesignatur-System missbrauchten. Die Betrüger verlangten zwischen 5.000 und 9.000 US-Dollar von ihren Kunden, um Schadsoftware mit gefälschten Zertifikaten zu signieren und damit an Sicherheitsmechanismen vorbeizuschleusen. Die Operation, die seit Mai 2025 aktiv war, ermöglichte die Verbreitung gefährlicher Ransomware-Varianten wie Rhysida an Ziele in den USA, Frankreich, Indien und China – darunter Krankenhäuser, Schulen und Behörden. Für deutsche Nutzer und Unternehmen besteht das Risiko, dass ähnliche Dienste noch immer aktiv sind oder neue entstehen. Besonders kritisch ist dies für deutsche Firmen im Gesundheits-, Finanz- und Bildungssektor, die verstärkt von solchen professionellen Cyberkriminellen ins Visier genommen werden. Microsoft hat die Operation unter dem Codenamen OpFauxSign zerschlagen, indem es die Infrastruktur abschaltete und hunderte virtuelle Maschinen offline nahm.

Bei dem zerschlagenen Netzwerk handelt es sich um eine ausgefeilte Kriminelleninfrastruktur, die es Cyberkriminellen gegen Gebühren zwischen 5.000 und 9.000 Dollar ermöglichte, ihre Malware durch Fox Tempest signieren zu lassen. Die Unterschrift täuschte Sicherheitssystemen vor, dass die Software vertrauenswürdig sei – ein klassischer Missbrauch von Vertrauen im digitalen Ökosystem.

Die technische Umsetzung war bemerkenswert raffiniert: Fox Tempest beschaffte sich über gestohlene Identitäten von Personen aus den USA und Kanada legitime Code-Signatur-Zertifikate von Microsofts Artifact Signing System. Diese waren zwar nur 72 Stunden gültig, reichten aber aus, um Malware erfolgreich zu verbreiten, bevor sie widerrufen werden konnten. Die Plattform “SignSpace” bot dann das Frontend für Kunden, um ihre schädlichen Dateien hochzuladen und signieren zu lassen.

Besonders beunruhigend ist die Verbindung zu großen Ransomware-Betreibern: Rhysida, Qilin, INC, BlackByte und Akira – alle bekannte Ransomware-Familien, die deutsche Unternehmen angegriffen haben – nutzen oder nutzten Fox Tempests Service. Ziele waren unter anderem das Gesundheitswesen, Bildungseinrichtungen, Behörden und Finanzdienstleistungen in den USA, Frankreich, Indien und China.

Microsoft erklärt, dass es die Website signspace[.]cloud beschlagnahmt, hunderte virtuelle Maschinen offline genommen und den Zugriff auf die zugrunde liegende Infrastruktur blockiert hat. Die Zusammenarbeit mit einer “kooperativen Quelle” ermöglichte es den Microsoft-Sicherheitsexperten, den Service zwischen Februar und März 2026 zu testen und detaillierte Erkenntnisse zu sammeln.

Die Tatsache, dass Fox Tempest kontinuierlich sein Handwerk anpasste und sogar versuchte, zu anderen Code-Signing-Diensten zu wechseln, unterstreicht die Entschlossenheit der Akteure. Dies macht solche Operationen zu einem Dauerproblem für die Cybersicherheitsbranche.

Für deutsche Unternehmen ergibt sich daraus eine wichtige Lehre: Die Überprüfung digitaler Signaturen bietet allein keinen ausreichenden Schutz mehr. Zusätzliche Maßnahmen wie Multi-Faktor-Authentifizierung, Endpoint Detection and Response (EDR) und Zero-Trust-Prinzipien sind essentiell, um sich gegen solche Angriffe zu verteidigen. Das BSI wird diese Operation sicherlich in seinen Lagebewertungen und Handlungsempfehlungen berücksichtigen.

Ähnliche Artikel