Microsoft zerschlägt gefährliche Ransomware-Kampagne

Microsoft hat eine ausgeklügelte Cybercrime-Operation gestoppt, die gefälschte Teams-Installer für Erpressungsangriffe nutzte. Über 200 betrügerisch erlangte Zertifikate wurden widerrufen.

Die Redmonder haben heute erfolgreich eine weitreichende Ransomware-Kampagne zerschlagen, die mit manipulierten Werbeanzeigen und gefälschten Microsoft Teams-Installationsdateien Unternehmensnetzwerke kompromittierte. Der schnelle Eingriff umfasste die Sperrung von mehr als 200 betrügerisch erlangten Code-Signing-Zertifikaten und lähmte damit die Infrastruktur einer finanziell motivierten Cybercrime-Gruppe.

Vanilla Tempest im Visier der Sicherheitsexperten

Die Operation richtete sich gegen eine hochentwickelte Hackergruppe, die Microsoft als “Vanilla Tempest” verfolgt – in der Cybersecurity-Community auch unter den Namen “VICE SPIDER” und “Vice Society” bekannt. Diese Gruppe hat eine Geschichte zerstörerischer Angriffe auf kritische Sektoren wie Bildung, Gesundheitswesen und Fertigung.

Der Eingriff der Microsoft-Sicherheitsteams stoppt eine erhebliche Bedrohung, die das vertrauensvolle Branding der Teams-Plattform ausnutzte, um eine heimliche Hintertür zu installieren und Opferdaten für Erpressungen zu verschlüsseln.

Perfide Täuschungsmanöver

Der Angriff begann Ende September 2025 mit einer groß angelegten Malvertising-Kampagne. Vanilla Tempest nutzte Suchmaschinenwerbung und SEO-Vergiftungstechniken, um bösartige Websites an die Spitze der Suchergebnisse für Begriffe rund um Microsoft Teams-Downloads zu bringen.

Diese Seiten waren überzeugende Nachbildungen der offiziellen Teams-Download-Seite und hosteten gefälschte Installationsdateien namens “MSTeamsSetup.exe”. Nach der Ausführung installierten diese Dateien nicht die echte Teams-Anwendung, sondern einen Loader, der eine Hintertür namens “Oyster” (auch “Broomstick” genannt) installierte.

Besonders raffiniert: Die Gruppe nutzte gültige Code-Signing-Zertifikate von legitimen Anbietern wie DigiCert, GlobalSign und SSL.com. Diese Zertifikate ließen die Schadsoftware vertrauenswürdig erscheinen und halfen dabei, Sicherheitskontrollen zu umgehen.

Microsofts entscheidender Gegenschlag

Microsofts Threat Intelligence-Team bewegte sich schnell zur Zerschlagung der Kampagne, nachdem es den Missbrauch der vertrauenswürdigen Signatur-Infrastruktur identifiziert hatte. Kernstück der Störungsaktion war die Sperrung von mehr als 200 Code-Signing-Zertifikaten, auf die Vanilla Tempest angewiesen war.

Durch die Ungültigmachung dieser Zertifikate beraubte Microsoft die Malware effektiv ihres vertrauenswürdigen Status. Zusätzlich hat das Unternehmen seine Sicherheitsprodukte aktualisiert: Microsoft Defender Antivirus erkennt nun spezifisch die gefälschten Installer, die Oyster-Hintertür und die Rhysida-Ransomware.

Collaboration-Tools im Fadenkreuz

Dieser Vorfall ist Teil eines breiteren Trends, bei dem Angreifer auf Kollaborationstools wie Microsoft Teams abzielen, die zentral für moderne Geschäftsabläufe geworden sind. Cyberkriminelle nutzen zunehmend Social-Engineering-Taktiken auf diesen Plattformen – etwa indem sie sich in Teams-Anrufen als IT-Support-Personal ausgeben.
Anzeige: Übrigens: Cyberkriminelle setzen längst nicht nur auf manipulierte Desktop-Installer – auch Smartphones sind beliebte Ziele. Viele Android-Nutzer übersehen dabei 5 einfache, aber entscheidende Sicherheitsmaßnahmen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und Co. ohne teure Zusatz-Apps absichern – inklusive Checklisten und wichtiger Update-Tipps. Jetzt das kostenlose Android-Sicherheitspaket sichern
Sicherheitsexperten beobachten, dass Ransomware-Gruppen wie Black Basta oft mit “E-Mail-Bombing”-Kampagnen beginnen, um den Posteingang eines Nutzers zu überlasten und eine Ablenkung zu schaffen, bevor sie über Teams Kontakt aufnehmen.

Was Unternehmen jetzt tun müssen

Obwohl Microsofts Zerschlagung der Vanilla Tempest-Kampagne einen bedeutenden Sieg darstellt, bleibt die Bedrohung durch Ransomware-Angriffe hoch. Microsoft empfiehlt allen Organisationen dringend, ihre Sicherheitssoftware vollständig zu aktualisieren.

Sicherheitsadministratoren sollten Microsoft Teams so konfigurieren, dass Kommunikation von externen, nicht vertrauenswürdigen Domains eingeschränkt oder blockiert wird. Darüber hinaus ist kontinuierliche Mitarbeiterschulung entscheidend – besonders beim Erkennen und Melden verdächtiger Aktivitäten, insbesondere unerwünschter Kontaktaufnahme vermeintlicher IT-Mitarbeiter.