Microsoft verklagt Ransomware-Helfer: Neue Ära der Cyberkriminalität

Die Grenze zwischen legitimer Software und Schadcode verschwimmt zunehmend. Microsoft geht gerichtlich gegen eine Gruppe vor, die kriminellen Hackern mit gefälschten Zertifikaten Tür und Tor öffnet.

Die Cybersicherheitsbranche steht vor einer doppelten Herausforderung: Während Angreifer von technischen Schwachstellen auf systematischen Missbrauch von Vertrauensmechanismen umschwenken, haben die jüngsten Entwicklungen die Sicherheitslandschaft von Windows grundlegend verändert.

Am 19. Mai 2026 leitete Microsofts Digital Crimes Unit eine Zivilklage gegen die Gruppe Fox Tempest ein. Die Organisation soll die entscheidende Infrastruktur für einige der gefährlichsten Ransomware-Operationen weltweit bereitgestellt haben. Parallel dazu warnen die US-Behörden vor sogenannten „Phishing-as-a-Service"-Plattformen, die selbst mehrstufige Authentifizierung (MFA) umgehen.

Angesichts der Professionalisierung von Ransomware-Gruppen und dem Handel mit gefälschten Zertifikaten wird der proaktive Schutz für Unternehmen immer wichtiger. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Cyberbedrohungen und zeigt Ihnen, wie Sie Sicherheitslücken ohne hohe Investitionen schließen. IT-Sicherheit stärken und Unternehmen proaktiv schützen

Der Zertifikate-Handel: Wie Fox Tempest Malware legal aussehen ließ

Die Klage wirft Fox Tempest vor, gefälschte Code-Signatur-Zertifikate an prominente Ransomware-Gruppen verkauft zu haben. Diese Zertifikate verleihen Schadsoftware einen Anschein von Legitimität – sie umgehen die Windows-Sicherheitswarnungen, die normalerweise vor nicht vertrauenswürdigen Anwendungen warnen.

Die Preise für diese gefälschten Signaturen lagen zwischen 5.000 und 9.500 Euro. Zu den Kunden zählten die berüchtigten Gruppen Akira, Rhysida und BlackByte. Die Ermittler deckten auf, dass das Syndikat über 580 gefälschte Microsoft-Konten für seine Operationen eingerichtet hatte. Die Domain signspace[.]cloud, ein zentraler Bestandteil der Infrastruktur, wurde nach der Klage beschlagnahmt.

Betroffen waren Unternehmen und Einrichtungen in den USA, Deutschland, Großbritannien, Frankreich, China, Indien und Brasilien. Indem Fox Tempest diese Zertifikate bereitstellte, konnten die Ransomware-Gruppen ihre Schadsoftware mit deutlich höherer Erfolgsrate einsetzen – die signierten Dateien erschienen als von legitimen Software-Autoritäten verifiziert.

Dieser Handel mit Vertrauen spiegelt einen breiteren Trend in der Cyberkriminalität wider: Spezialisierte Dienstleister bieten Nischenservices für größere kriminelle Unternehmen an. Die Fähigkeit, Malware zu „signieren", neutralisiert eine der wichtigsten Verteidigungsschichten des Windows-Betriebssystems.

Kali365: Phishing als Abo-Modell

Während Microsoft die Vertrauensinfrastruktur angreift, hat das FBI dringende Warnungen zur rasant wachsenden Plattform Kali365 herausgegeben. Dieser Phishing-as-a-Service-Dienst (PhaaS) senkt die Einstiegshürde für professionelle Wirtschaftsspionage drastisch.

Kali365 zielt speziell auf Microsoft-365-Nutzer ab – durch OAuth-Token-Diebstahl und Device-Code-Phishing wird die mehrstufige Authentifizierung ausgehebelt. Anders als traditionelles Phishing, das auf Passwortdiebstahl setzt, ermöglicht Kali365 den Diebstahl von Sitzungstoken. Angreifer erhalten so dauerhaften Zugriff auf Outlook, Teams und OneDrive – ohne jemals die Anmeldedaten des Opfers zu benötigen.

Die Plattform wird über Telegram vermarktet. Die Abonnementpreise reichen von 250 Euro für 30 Tage bis 2.000 Euro für ein Jahr. Sicherheitsforscher von Proofpoint dokumentierten ab Frühjahr dieses Jahres eine dramatische Zunahme solcher Aktivitäten – allein innerhalb von zehn Tagen kamen mindestens sieben ähnliche Phishing-Kits auf den Markt.

Die Angriffe werden häufig durch Social-Engineering-Taktiken verbreitet. Ist eine Sitzung erst einmal kompromittiert, können die Angreifer seitwärts durch das Netzwerk wandern – mit Folgen wie Business-E-Mail-Compromise (BEC) und anschließender Ransomware-Infektion. Ein aktuelles Beispiel: Die Stadt Dickinson in North Dakota verlor fast fünf Millionen Euro durch einen BEC-Betrug, bevor die Bundesbehörden die Gelder sichern konnten.

„Chaotic Eclipse": Wenn Windows gegen sich selbst verwendet wird

Neben Social Engineering bleibt die technische Integrität des Windows-Ökosystems unter Druck. Sicherheitsforscher haben mehrere kritische Schwachstellen identifiziert, darunter eine besonders schwerwiegende Lücke im Windows Print Spooler (CVE-2025-39707). Diese erlaubt es nicht authentifizierten Angreifern, Code mit SYSTEM-Rechten auszuführen – durch speziell präparierte SMB-Pakete.

Obwohl Microsoft Patches für diese und andere Schwachstellen veröffentlichte, bleiben viele Organisationen aufgrund langsamer Update-Zyklen verwundbar. Besonders perfide: Die als „Chaotic Eclipse" bekannte Exploitation-Kette umgeht die BitLocker-Verschlüsselung und hebt Privilegien, indem sie vertrauenswürdige Systemkomponenten innerhalb der Windows-Wiederherstellungsumgebung (WinRE) missbraucht – ohne klassische Malware.

Zudem wurden zwei Zero-Day-Lücken in Microsoft Defender identifiziert (CVE-2026-41091 und CVE-2026-45498), die aktiv ausgenutzt werden. Sie erlauben Angreifern, ihre Rechte auf SYSTEM-Ebene auszuweiten oder Denial-of-Service-Bedingungen auszulösen. Diese technischen Exploits werden zunehmend mit der „Fake-Update"-Erzählung kombiniert: Nutzer werden aufgefordert, kritische Sicherheitspatches zu installieren, die in Wirklichkeit die von Fox Tempest signierte Malware einschleusen.

KI treibt den Betrug auf neue Spitzen

Die Schnittstelle zwischen technischen Exploits und Social Engineering wird durch künstliche Intelligenz massiv beschleunigt. Ein Bericht von Visa vom 23. Mai 2026 beziffert den Schaden durch Betrugsaktivitäten allein in der zweiten Jahreshälfte 2025 auf fast eine Milliarde Euro.

KI habe die Ökonomie des Betrugs fundamental verändert, so der Zahlungsdienstleister. Kriminelle könnten nun hochpersonalisierte Phishing-Kampagnen, Stimmklone und Deepfake-Angriffe mit minimalem technischem Know-how durchführen. Branchendaten zufolge werden die globalen Schäden durch Smartphone-basierte Angriffe 2026 voraussichtlich 442 Milliarden Euro erreichen. Schon heute sind schätzungsweise 86 Prozent aller modernen Phishing-Kampagnen KI-gesteuert.

Da Hacker zunehmend psychologische Manipulationstaktiken und KI einsetzen, um Sicherheitsbarrieren zu umgehen, müssen Unternehmen ihre Abwehrstrategien anpassen. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Phishing-Angriffe in vier Schritten stoppen und Ihre Mitarbeiter sensibilisieren. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Dieser Wandel hat das primäre Ziel der Cyberkriminalitäten verschoben: vom System zur Psychologie des Nutzers. Visas spezialisierte Betrugsbekämpfungsteams betonen, dass Kriminelle zunehmend darauf setzen, Menschen zur Autorisierung betrügerischer Transaktionen zu manipulieren, während die Zahlungssicherheit selbst immer härter wird.

Der Untergrundmarkt für gestohlene Zugangsdaten floriert parallel dazu. Eine Studie vom 22. Mai 2026 fand 75.000 Angebote für gestohlene Streaming-Konten im Darknet – Netflix-Zugänge kosten im Median 4,55 Euro. Diese Konten dienen oft als Testgelände für Credential-Stuffing-Angriffe, bei denen Angreifer dieselben Passwortkombinationen für den Zugriff auf sensiblere Finanz- oder Unternehmenskonten nutzen.

Der Weg in die passwortlose Zukunft

Als Reaktion auf die eskalierende Bedrohungslage forcieren die großen Technologieanbieter den Abschied von veralteten Authentifizierungsmethoden. Microsoft hat angekündigt, die SMS-basierte Zwei-Faktor-Authentifizierung für private Konten auslaufen zu lassen – wegen der Anfälligkeit für SIM-Swapping und spezialisierte Phishing-Kits wie Kali365. Das Unternehmen setzt stattdessen auf Passkeys und verifizierte E-Mail-Adressen.

Apple und Google folgen ähnlichen Pfaden. Apples jüngstes iOS-26.5-Update schloss 52 separate Sicherheitslücken, während Google in die Android-17-Beta eine erweiterte Betrugserkennung integriert, die Betrugsanrufe in Echtzeit identifiziert. Auf der regulatorischen Seite verabschiedete das Bundeskabinett am 21. Mai 2026 das Digitale-Identitäts-Gesetz – ein Signal für den politischen Vorstoß zu sichereren, souveränen digitalen Identifikationssystemen.

Während Gruppen wie Fox Tempest den Verkauf gefälschter Signaturen professionalisieren und KI-gesteuerte Phishing-Kits immer zugänglicher werden, konzentriert sich die Branche auf Zero-Trust-Architekturen und die Abschaffung statischer Passwörter. Für Unternehmen und Privatnutzer bedeutet das: Der Umstieg auf hardwaregestützte Authentifizierung und ein geschärftes Misstrauen gegenüber unaufgeforderten digitalen Nachrichten wird unumgänglich – selbst wenn sie scheinbar die „verifizierte" Signatur eines vertrauenswürdigen Softwareanbieters tragen.

de | wissenschaft | 69408656 |