Microsoft Teams: Hacker nutzen Vertrauen für Ransomware-Angriffe
20.06.2026 - 17:25:10 | boerse-global.de
Aktuelle Analysen zeigen eine besorgniserregende Zunahme gezielter Attacken auf die Kollaborationsplattform und die gesamte Microsoft-365-Umgebung. Besonders perfide: Die Angreifer nutzen das Vertrauen der Mitarbeiter in interne Kommunikationswege aus.
DragonForce setzt auf Social Engineering per Teams
Die Ransomware-Gruppe DragonForce hat ihre Taktik grundlegend geändert. Statt auf reine Technik setzen die Erpresser nun auf eine raffinierte Kombination: Zunächst überfluten sie die E-Mail-Postfächer ihrer Opfer mit Nachrichten – eine Taktik, die als „Email Bombing" bekannt ist. Anschließend melden sie sich direkt über Microsoft Teams bei den Betroffenen. Die Hacker geben sich dabei als IT-Support-Mitarbeiter aus und versuchen, ihre Opfer zur Installation einer Fernwartungssoftware zu überreden.
Anzeige: Die jüngsten Angriffe von DragonForce und Peach Sandstorm zeigen: Microsoft Teams wird gezielt als Einfallstor genutzt. Erfahren Sie in unserem Report, wie Sie Ihre Umgebung mit einer Zero-Trust-Architektur und Conditional-Access-Richtlinien absichern – bevor die nächste Welle kommt. Jetzt kostenlosen Sicherheits-Report anfordern
Sicherheitsforscher von Broadcom, Symantec und Carbon Black haben dabei ein spezielles Go-basiertes Programm namens Backdoor.Turn identifiziert. Dessen Besonderheit: Es kommuniziert über die legitime Relay-Infrastruktur von Microsoft Teams und umgeht so herkömmliche Erkennungssysteme. Die Angriffe, die bereits seit Dezember 2025 dokumentiert sind, zielen vor allem auf Unternehmen aus den Bereichen Fertigung, Gesundheitswesen, Finanzen, Technologie und Rüstung ab.
Iranische Gruppen im Visier
Doch nicht nur Erpresserbanden machen Microsoft 365 unsicher. Auch staatlich gelenkte Akteure haben die Plattform im Visier. Die als Peach Sandstorm und Gray Sandstorm bekannten Gruppen aus dem Iran führen groß angelegte Password-Spraying-Kampagnen durch. Dabei nutzen sie Tor-Ausgangsknoten und VPNs, um ihre Aktivitäten zu verschleiern.
Die Angriffe richten sich primär gegen Organisationen in Israel und den Vereinigten Arabischen Emiraten, betreffen aber auch Ziele in den USA, Europa und Saudi-Arabien. Analysten vermuten, dass die Angreifer an sensible Informationen gelangen wollen, die für militärische Schadensbewertungen genutzt werden könnten.
Eine weitere neue Gefahr: Die als EvilTokens bekannte Phishing-Methode. Sie nutzt den legitimen Device-Code-Login von Microsoft aus, um Authentifizierungstoken zu stehlen. Damit umgehen die Angreifer nicht nur Passwörter, sondern auch herkömmliche Zwei-Faktor-Authentifizierung. Über 340 Organisationen sind bereits betroffen.
Sicherheitslücke geschlossen – Infrastruktur zerschlagen
Es gibt aber auch positive Nachrichten. Microsoft hat die als SearchLeak (CVE-2026-42824) bekannte Sicherheitslücke in Microsoft 365 Copilot Enterprise Search geschlossen. Der dreistufige Angriff hätte es ermöglicht, E-Mails, Dateien und sogar MFA-Codes zu stehlen. Nach Angaben des Konzerns wurde die Lücke nicht aktiv ausgenutzt.
Internationale Erfolge melden die Strafverfolgungsbehörden aus den USA, Deutschland, den Niederlanden und Kanada. Am 19. Juni gelang ihnen die Zerschlagung der SocGholish-Infrastruktur (auch als FakeUpdates bekannt). Die Operation, die gegen die russische Gruppe Evil Corp gerichtet war, führte zur Beschlagnahmung von 106 Servern und zur Bereinigung von fast 15.000 infizierten WordPress-Seiten.
Anzeige: Infostealer-Logs enthalten inzwischen zu 14 % Unternehmensidentitäten – Microsoft Entra ID ist mit 79 % der am häufigsten betroffene Anbieter. Unser Report zeigt Ihnen, wie Sie Identitätsdiebstahl erkennen und Ihre Teams-Umgebung mit einem 3-Schritte-Plan absichern. Identitätsschutz-Report jetzt sichern
Unternehmensidentitäten im Visier
Das Ausmaß der Bedrohung zeigt eine Analyse von Flare Research. Von rund 19 Millionen untersuchten Infostealer-Logs aus dem vergangenen Jahr enthalten etwa 14 Prozent Unternehmensidentitätsdaten – ein deutlicher Anstieg von zuvor sechs Prozent. Microsoft Entra ID ist mit 79 Prozent der analysierten Logs der am häufigsten betroffene Identitätsanbieter.
Sicherheitsexperten raten Unternehmen dringend zu Zero-Trust-Architekturen, strengen Conditional-Access-Richtlinien und der Abschottung von Verwaltungsschnittstellen. Denn eines ist klar: Die Angreifer werden ihre Methoden weiter verfeinern – und Microsoft Teams bleibt ein bevorzugtes Ziel.
