Cloud-Erpressung: Neue Bande Pink nutzt Voice-Phishing gegen Microsoft 365

Cyberkriminelle setzen zunehmend auf Telefon-Tricks und legitime Tools, um Cloud-Daten zu stehlen.

Sicherheitsforscher schlagen Alarm: Eine neue Generation von Erpressungsbanden hat es gezielt auf Microsoft-365-Umgebungen abgesehen. Die Angreifer kombinieren Voice-Phishing (Vishing) mit Fernwartungstools und umgehen so klassische Schutzmechanismen wie die Zwei-Faktor-Authentifizierung. Besonders betroffen sind Daten in SharePoint und OneDrive.

Moderne Cyberangriffe nutzen oft psychologische Tricks, um Sicherheitsbarrieren zu umgehen und sensible Unternehmensdaten abzugreifen. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Phishing-Attacken und CEO-Fraud effektiv unterbinden. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Die neue Gruppe „Pink" im Visier der Ermittler

Palo Alto Networks Unit 42 hat einen neuen Akteur identifiziert, der unter dem Codenamen „Pink" (CL-CRI-1147) geführt wird. Die Gruppe betreibt seit Ende Mai 2026 eine eigene Website zur Veröffentlichung gestohlener Daten. Ihre Spezialität: das Ausspähen von Cloud-Umgebungen.

Die Täter setzen auf eine besonders hinterhältige Methode. Sie rufen ihre Opfer an und geben sich als IT-Mitarbeiter aus. So erschleichen sie sich Zugang zu den Systemen – und umgehen die sonst so wirksame Mehrfaktor-Authentifizierung. Einmal im System, arbeiten sie dateilos: Der Schadcode versteckt sich im Arbeitsspeicher und bleibt für herkömmliche Virenscanner unsichtbar. Die Opfer bekommen dann 72 Stunden Zeit, um Lösegeld zu zahlen. Danach droht die Veröffentlichung der Daten.

UNC3753: Wenn der Angriff durch die Tür kommt

Noch einen Schritt weiter geht die Gruppe UNC3753, die auch unter den Namen Luna Moth, Chatty Spider oder Silent Ransom Group bekannt ist. Mandiant und Googles Threat Intelligence Group haben ihre Aktivitäten genau dokumentiert. Seit März 2022 aktiv, hat die Gruppe zwischen Januar und Mai 2026 eine massive Kampagne gegen Dutzende Organisationen gefahren – darunter US-Kanzleien und Finanzdienstleister.

Das Vorgehen ist mehrstufig. Scheitert der erste Versuch per Telefon oder E-Mail, greifen die Täter zu drastischeren Mitteln. In dokumentierten Fällen verschafften sie sich als angebliche IT-Techniker Zutritt zu Firmengebäuden – und stahlen Daten per USB-Stick.

Da Cyberkriminelle immer aggressiver vorgehen und neue Gesetze die Haftung für Unternehmen verschärfen, ist proaktiver Schutz wichtiger denn je. Erfahren Sie in diesem Gratis-Report, wie Sie Sicherheitslücken ohne hohe Investitionen schließen und Ihre Firma langfristig absichern. Gratis-E-Book: Cyber Security Trends jetzt herunterladen

Für den Fernzugriff nutzt die Gruppe legitime Werkzeuge wie AnyDesk, Bomgar, Zoho Assist oder SuperOps. Der Datendiebstahl selbst erfolgt atemberaubend schnell: Oft sind die Daten innerhalb einer Stunde abgeflossen. In einem Fall wurden 1,7 Gigabyte über Google Drive und 14,4 Gigabyte per WinSCP abtransportiert. Auch hier folgt eine Erpressungsmail mit dreitägigem Ultimatum.

Vertraute Werkzeuge als Einfallstor

Der Missbrauch legitimer Dienste ist kein Einzelfall. Bereits im April 2026 nutzte die Nimubus-RAT-Kampagne Microsoft-Teams-Anrufe, um Angriffe zu starten. Die Täter gaben sich als IT-Support aus und baten die Opfer, die Quick-Assist-Funktion zu aktivieren. Das ermöglichte die Installation eines Java-basierten Trojaners, der Google Drive und Google Sheets zur Steuerung nutzte.

Die Zahlen sprechen eine deutliche Sprache: Im ersten Quartal 2026 stieg die Nutzung sogenannter „Living off the Land"-Techniken massiv an. Moderne Angriffe schaffen es, innerhalb von 21 Sekunden nach dem ersten Zugriff eine dauerhafte Verbindung aufzubauen.

Sicherheitslücken und Patches im Juni 2026

Die Welle von Vishing- und Cloud-Erpressungen fällt mit mehreren kritischen Sicherheitsupdates zusammen. Google hat im Juni einen Android-Zero-Day geschlossen (CVE-2025-48595), der bereits aktiv ausgenutzt wurde. Die US-Sicherheitsbehörde CISA hat zwei weitere Schwachstellen in ihren Katalog bekannter Exploits aufgenommen: einen Fehler in ConnectWise ScreenConnect (CVE-2024-1708) und eine Windows-Shell-Lücke (CVE-2026-32202), die angeblich von der russischen Gruppe APT28 ausgenutzt wird.

Und auch Microsoft musste Ende Mai eine Kehrtwende machen: Der Konzern ruderte bei der Behauptung zurück, Windows Defender sei als alleiniger Virenschutz ausreichend. Unabhängige Tests im März hatten gezeigt, dass die Offline-Erkennungsrate des Tools hinter der Konkurrenz zurückbleibt. Microsoft verweist nun auf eine differenziertere Sicherheitsstrategie.

de | wissenschaft | 69494298 |