Microsoft stoppt massive Ransomware-Kampagne

Microsoft hat über 200 betrügerische Zertifikate widerrufen und damit eine großangelegte Ransomware-Attacke gestoppt. Die Cyberkriminellen hinter der Aktion nutzten gefälschte Teams-Installer, um die Rhysida-Ransomware zu verbreiten.

Die Angreifer der Gruppe “Vanilla Tempest” – auch bekannt als VICE SPIDER und Vice Society – setzten auf eine perfide Strategie: Sie manipulierten Suchergebnisse, um Nutzer auf gefälschte Download-Seiten für Microsoft Teams zu locken. Die dort angebotenen MSTeamsSetup.exe-Dateien sahen authentisch aus, installierten jedoch zunächst die “Oyster”-Backdoor und später die eigentliche Ransomware.

Besonders heimtückisch: Die Kriminellen verwendeten echte digitale Zertifikate von vertrauenswürdigen Anbietern wie DigiCert, GlobalSign und sogar Microsofts eigenem Signing-Service. Dadurch wirkten die Schaddateien für Betriebssysteme und Sicherheitssoftware völlig legitim.

Perfide Täuschung durch vertrauensvolle Zertifikate

Der Angriff begann mit gefälschten Domains wie teams-download.buzz und teams-install.run. Wer dort eine Datei herunterlud und ausführte, aktivierte einen Loader, der die Oyster-Backdoor installierte. Diese Hintertür verschaffte den Angreifern seit Juni 2025 Fernzugriff auf kompromittierte Systeme.

Was folgte, war ein bewährtes Schema: Datendiebstahl, anschließende Dateiverschlüsselung und Erpressung. Vanilla Tempest nutzte bereits verschiedene Ransomware-Varianten wie BlackCat und Quantum Locker, setzt aber neuerdings bevorzugt auf Rhysida.

Die Suchmaschinen-Manipulation (SEO Poisoning) erwies sich als besonders effektiv. Nutzer, die nach Microsoft Teams suchten, landeten oft unwissentlich auf den Betrugsseiten – ein Zeichen dafür, wie raffiniert moderne Cyberangriffe geworden sind.

Microsofts schnelle Reaktion und Schutzmaßnahmen

Nach der Entdeckung der Kampagne Ende September 2025 reagierte Microsoft umgehend. Anfang Oktober wurden sämtliche 200 betrügerischen Zertifikate für ungültig erklärt – ein entscheidender Schlag gegen die Angreifer.

“Microsoft hat die Vanilla Tempest-Kampagne durch den Widerruf von über 200 Zertifikaten gestoppt, die für gefälschte Teams-Dateien missbraucht wurden”, teilte die Threat Intelligence-Abteilung mit.

Gleichzeitig erhielt Microsoft Defender Antivirus Updates, um die falschen Installer zu blockieren. Microsoft Defender for Endpoint kann nun die spezifischen Angriffsmuster (TTPs) von Vanilla Tempest erkennen – eine wichtige Hilfe für Sicherheitsteams bei der Untersuchung möglicher Kompromittierungen.

Vertrauen als Waffe: Gefahr für die digitale Sicherheit

Der Vorfall zeigt eine beunruhigende Entwicklung auf: Kriminelle missbrauchen ausgerechnet die Systeme, die digitales Vertrauen schaffen sollen. Code-Signing-Zertifikate gelten als Grundpfeiler der Software-Sicherheit – sie bestätigen die Echtheit und Unversehrtheit von Dateien.

Wenn Angreifer diese Zertifikate betrügerisch erlangen, untergraben sie das Vertrauen in das gesamte System. Für Unternehmen wird es damit noch schwieriger, echte von gefälschter Software zu unterscheiden.

Die Taktik, beliebte Marken wie Microsoft Teams zu imitieren, ist längst Standard unter Cyberkriminellen. Sie nutzen die Popularität vertrauensvoller Software, um ihre Schadsoftware zu tarnen. Das macht kontinuierliche Schulungen für Mitarbeiter unverzichtbar – sie sollten Software nur von offiziellen Quellen herunterladen.
Anzeige: Übrigens: Wer sich vor den Folgen von Ransomware und defekten Windows-Systemen absichern möchte, sollte einen startfähigen Windows‑11‑USB‑Stick bereithalten. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie den Boot‑Stick erstellen und ihn im Ernstfall zum sicheren Start oder zur Reparatur nutzen – ganz ohne Vorkenntnisse. Ideal als Notfall‑Stick für Zuhause und Büro. Jetzt Gratis-Anleitung für den Windows‑11‑Boot‑Stick sichern

Ausblick: Der Kampf geht weiter

Microsofts Erfolg dürfte nur vorübergehend sein. Vanilla Tempest und ähnliche Gruppen werden sich anpassen, neue Zertifikate beschaffen und ihre Methoden weiterentwickeln. Der Kampf zwischen Cyberkriminellen und Sicherheitsexperten bleibt ein ständiges Katz-und-Maus-Spiel.

Für Unternehmen bedeutet das: Eine einzelne Sicherheitsmaßnahme reicht nicht aus. Nur die Kombination aus robustem Endpoint-Schutz, strikter Netzwerksicherheit und kontinuierlicher Mitarbeiterschulung bietet wirksamen Schutz.

Microsoft empfiehlt Organisationen, ihren Identitätsschutz zu stärken, Endpoints zu härten und Teams-Clients sowie -Anwendungen abzusichern. Solange Angreifer neue Wege finden, vertrauensvolle Plattformen zu missbrauchen, bleibt die Wachsamkeit von Technologieanbietern und Endnutzern die entscheidende Verteidigungslinie.