Microsoft zerschlägt „Malware-Signing-as-a-Service“-Plattform Fox Tempest

Die Digital Crimes Unit von Microsoft hat am Mittwoch ein kriminelles Netzwerk zerschlagen, das Ransomware-Banden half, ihre Schadsoftware als vertrauenswürdige Unternehmenssoftware zu tarnen.

Die Operation richtete sich gegen die als Fox Tempest bekannte Gruppe, die eine „Malware-Signing-as-a-Service“-Plattform (MSaaS) betrieb. Über den Dienst signspace[.]cloud vermieteten die Täter seit mindestens Mai 2025 ihre Fähigkeit, Schadsoftware mit echten Microsoft-Zertifikaten zu versehen. Die Aktion erfolgte in Koordination mit dem FBI und dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Guide für KMU kostenlos herunterladen

Wie die Täter Microsofts eigene Werkzeuge missbrauchten

Das Geschäftsmodell von Fox Tempest war ebenso einfach wie perfide. Die Gruppe nutzte gestohlene Identitäten aus den USA und Kanada, um hunderte betrügerische Azure-Tenants zu erstellen. Über diese beantragten sie bei Microsofts Artifact-Signing-Prozess digitale Zertifikate – und erhielten sie tatsächlich.

Die Zertifikate waren auf eine Gültigkeit von 72 Stunden ausgelegt: lang genug für einen Angriff, kurz genug, um Sicherheitslösungen zu entgehen. Insgesamt stellte Fox Tempest über 1.000 gefälschte Code-Signing-Zertifikate aus. Damit ließen sich Schadprogramme als legitime Anwendungen tarnen – etwa als Microsoft Teams, AnyDesk oder Cisco Webex.

Die Preise für den Dienst lagen zwischen 5.000 und 9.500 US-Dollar pro Zugang. Microsoft zufolge erzielte die Gruppe damit Millionenumsätze und wurde so zu einem zentralen Glied in der ransomware supply chain.

Enge Verbindungen zu den gefährlichsten Erpresserbanden

Besonders brisant: Fox Tempest arbeitete eng mit Vanilla Tempest zusammen, einer berüchtigten Ransomware-Gruppe, die für die Verbreitung der Rhysida-Erpressungssoftware bekannt ist. Während Fox Tempest die technische Tarnung lieferte, führte Vanilla Tempest die eigentlichen Einbrüche durch.

Doch damit nicht genug. Auch die Gruppen INC, Qilin, Akira, BlackByte, Storm-0501 und Storm-0249 nutzten die Signier-Dienste. Sie verbreiteten damit unter anderem die Datendiebe Oyster, Vidar und Lumma Stealer. Betroffen waren Opfer in den USA, Frankreich, Indien und China – mit Schwerpunkt auf Gesundheitswesen, Bildung, Behörden und Finanzdienstleistern.

Der Schlag gegen die Infrastruktur

Am 20. Mai 2026 schlug Microsoft zurück. Die Digital Crimes Unit erwirkte eine gerichtliche Verfügung beim U.S. District Court for the Southern District of New York. Damit wurden die Kommandozentrale der Gruppe beschlagnahmt, hunderte virtuelle Maschinen abgeschaltet und mehrere Code-Hosting-Seiten blockiert. Über 1.000 Zertifikate wurden widerrufen.

Die koordinierte Aktion mit dem Sicherheitsunternehmen Resecurity zielte darauf ab, die „Fassade der Legitimität“ zu zerstören, die Fox Tempest seinen Kunden verkaufte.

Rekord-Schäden durch Phishing und Tarnungs-Tricks zeigen, warum immer mehr Unternehmen jetzt auf gezielte Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam vor manipulierten Nachrichten und Schadsoftware schützen kann. Kostenloses Anti-Phishing-Paket anfordern

Eine turbulente Woche für die Lieferkettensicherheit

Die Zerschlagung fällt in eine Woche massiver Sicherheitsvorfälle. Am selben Tag bestätigte GitHub einen schwerwiegenden Datenleck: Rund 3.800 interne Repositories wurden durch eine manipulierte VS-Code-Erweiterung kompromittiert. Die Gruppe TeamPCP bietet den gestohlenen Quellcode ab 50.000 Dollar zum Verkauf an.

Nur einen Tag zuvor, am 19. Mai, hatte ein selbstreplizierender Wurm namens „Mini Shai-Hulud“ das AntV-Ökosystem im npm-Registry befallen. 639 bösartige Versionen in 323 Paketen wurden veröffentlicht – mit Millionen wöchentlicher Downloads.

Die Botschaft ist klar: Cyberkriminelle greifen nicht mehr einzelne Unternehmen an, sondern die Werkzeuge, Zertifikate und Repositories, denen die gesamte digitale Wirtschaft vertraut.

Hintergrund: Weitere Schwachstellen im Fokus

Parallel zu den Cloud-basierten Angriffen wurden weitere Sicherheitslücken bekannt. Forscher von Qualys enthüllten CVE-2026-46333, eine kritische Root-Rechteausweitung im Linux-Kernel, die seit 2016 unentdeckt blieb. Betroffen sind Debian, Fedora, Red Hat und SUSE.

Microsoft selbst veröffentlichte Patches für die „YellowKey“-Lücke (CVE-2026-45585) , die es Angreifern mit physischem Zugriff erlaubte, die BitLocker-Verschlüsselung zu umgehen.

Ausblick: Was Unternehmen jetzt tun müssen

Die Zerschlagung von Fox Tempest wird voraussichtlich zu einer vorübergehenden Beruhigung bei den beteiligten Ransomware-Gruppen führen. Doch das „as-a-Service“-Modell bleibt widerstandsfähig. Microsoft hat bereits Änderungen an seinen Artifact-Signing-Prozessen angekündigt.

Für Unternehmen gilt: Selbst signierte Software ist kein Garant für Sicherheit. Experten empfehlen strengere Kontrollen interner Entwicklungsumgebungen, häufigen Passwortwechsel und den Umstieg auf Zero-Trust-Architekturen, die nicht blind auf digitale Signaturen vertrauen.

Die erfolgreiche Koordination zwischen Microsoft und internationalen Polizeibehörden im Mai 2026 könnte als Blaupause für künftige Aktionen gegen die spezialisierten Dienstleister der globalen Ransomware-Ökonomie dienen.

de | wissenschaft | 69386330 |