Microsoft stoppt Ransomware-Angriff durch Zertifikats-Widerruf
Microsoft hat über 200 betrügerische Zertifikate gesperrt und damit eine groß angelegte Ransomware-Kampagne der Hackergruppe Vanilla Tempest gestoppt, die gefälschte Teams-Installer nutzte.
Microsoft hat über 200 gefälschte Zertifikate widerrufen und damit eine groß angelegte Ransomware-Kampagne der Hackergruppe Vanilla Tempest gestoppt. Die Cyberkriminellen missbrauchten die Zertifikate, um Schadsoftware als legitime Microsoft Teams-Installer zu tarnen.
Der Tech-Konzern aus Redmond entdeckte die Attacke Ende September und reagierte Anfang Oktober mit dem Widerruf der betrügerisch erlangten Zertifikate. Damit wurde die Verbreitung der Rhysida-Ransomware erheblich erschwert – ein entscheidender Schlag gegen eine der aktivsten Hackergruppen weltweit.
Perfide SEO-Tricks führten zur Falle
Vanilla Tempest, auch bekannt als Vice Society, nutzte eine raffinierte Kombination aus Suchmaschinenoptimierung und gefälschten Webseiten. Bei der Google-Suche nach “Microsoft Teams” landeten Nutzer auf täuschend echten Download-Seiten wie “teams-download.buzz” oder “teams-install.run”.
Die dort angebotene Datei “MSTeamsSetup.exe” installierte statt Teams eine Backdoor namens “Oyster”. Diese Hintertür verschaffte den Angreifern Fernzugriff auf die kompromittierten Systeme – der erste Schritt zur späteren Ransomware-Attacke.
Besonders heimtückisch: Die digitalen Signaturen namhafter Zertifizierungsstellen wie DigiCert und GlobalSign ließen die Schadsoftware vertrauenswürdig erscheinen. Sicherheitsprogramme schlugen daher oft nicht an.
Anzeige: Übrigens: Wer sich vor ähnlichen Angriffen auf dem Smartphone schützen möchte, sollte die wichtigsten Sicherheitsmaßnahmen kennen. Dieser kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und Shopping ohne teure Zusatz‑Apps absichern – inklusive Checklisten und Update‑Tipps. Perfekt für Android‑Nutzer, die Datenklau und Schadsoftware vermeiden wollen. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Microsofts koordinierte Gegenoffensive
Die Zertifikats-Sperrung war nur der erste Schritt. Microsoft aktualisierte parallel seine Sicherheitsprodukte, um die spezifischen Angriffsmuster von Vanilla Tempest zu erkennen. Der Windows Defender kann nun die gefälschten Installer und die Ransomware-Nutzlast zuverlässig identifizieren.
“Diese koordinierte Aktion zeigt, wie wichtig die schnelle Reaktion der Sicherheitsbranche ist”, erklärt ein Microsoft-Sprecher. Über 200 widerrufene Zertifikate – das ist einer der größten Eingriffe dieser Art in der jüngeren Cyber-Geschichte.
Vanilla Tempest: Spezialist für kritische Sektoren
Die Hackergruppe ist seit 2021 aktiv und hat sich auf Angriffe gegen Bildungseinrichtungen und Krankenhäuser spezialisiert. Ihr Arsenal umfasst verschiedene Ransomware-Varianten wie BlackCat, Quantum Locker und neuerdings Rhysida.
Der Missbrauch von Code-Signierung-Zertifikaten wird zum wachsenden Problem der Cybersicherheit. Was eigentlich Vertrauen schaffen soll, nutzen Kriminelle zur Tarnung. Doch wie lange hält Microsofts Erfolg an?
Die Bedrohung ist nicht gebannt
Sicherheitsexperten warnen: Vanilla Tempest wird sich neu organisieren und andere Wege finden. Die Gruppe dürfte bereits an neuen Zertifikaten und veränderten Angriffsmethoden arbeiten.
Für Unternehmen und Nutzer bleibt daher höchste Vorsicht geboten. Software sollte ausschließlich von offiziellen Herstellerseiten heruntergeladen werden. Gesponserte Suchergebnisse und unbekannte Domains sind mit Skepsis zu betrachten.
Microsofts entschlossenes Vorgehen könnte Schule machen – und zeigt, dass auch gegen ausgeklügelte Ransomware-Banden erfolgreich vorgegangen werden kann.
