Microsoft zerschlägt Ransomware-Infrastruktur und warnt vor neuen Sicherheitslücken

Zeitgleich warnen Sicherheitsexperten vor mehreren kritischen Lücken in Windows Defender und einer massiven Angriffswelle auf Software-Entwicklerplattformen.

Fox Tempest: Dienstleister für Cyberkriminelle zerschlagen

Die Digital Crimes Unit von Microsoft hat ein Netzwerk namens Fox Tempest (auch als OpFauxSign bekannt) lahmgelegt. Die Gruppe betrieb einen spezialisierten Dienst, der gestohlene oder gefälschte Codesignaturen verkaufte. Damit konnten Schadprogramme als legitime Software getarnt werden.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, liegt oft an unterschätzten Sicherheitslücken. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

Wie aus am 22. Mai 2026 veröffentlichten Gerichtsdokumenten hervorgeht, reichte Microsoft bereits am 19. Mai Klage ein. Die Preise für die Signaturdienste lagen zwischen 5.000 und 9.500 Euro. Zu den Kunden zählten bekannte Ransomware-Gruppen wie Rhysida, Akira, Qilin, BlackByte und INC Ransomware. Diese nutzten die Signaturen für Angriffe auf kritische Infrastrukturen, Schulen und Krankenhäuser in mindestens zehn Ländern.

Die Zertifikate waren meist nur 72 Stunden gültig – genug Zeit, um Schadsoftware wie den Lumma Stealer oder Oyster Malware auszuliefern. Microsoft beschlagnahmte die Domain signspace[.]cloud und mehrere virtuelle Maschinen. Damit wurde eine zentrale Versorgungslinie für Ransomware-Gruppen gekappt.

Zero-Day-Lücken legen Windows Defender lahm

Während die Zerschlagung von Fox Tempest die Verbreitung von Malware erschwert, zeigen neue Forschungsergebnisse kritische Schwachstellen in den Sicherheitssystemen selbst. Ende Mai warnten Sicherheitsforscher und US-Behörden vor aktiven Angriffen auf zwei Zero-Day-Lücken in Windows Defender.

Die erste Schwachstelle (CVE-2026-41091) ermöglicht Angreifern SYSTEM-Zugriff auf betroffene Rechner. Die zweite (CVE-2026-45498) verhindert, dass Windows Defender wichtige Signatur-Updates erhält – die Software wird praktisch eingefroren. Die US-Cybersicherheitsbehörde CISA hat Bundesbehörden eine Frist bis zum 3. Juni 2026 gesetzt, um die Patches einzuspielen. Microsoft hat die Probleme in Defender Engine Version 1.1.26040.8 und Platform Version 4.18.26040.7 behoben.

Eine weitere Bedrohung ist die GhostTree-Angriffstechnik, entdeckt von Varonis Threat Labs. Sie nutzt NTFS-Junction-Loops, um Windows Defender in eine Endlosschleife zu zwingen. Ohne Administratorrechte kann die Sicherheitssoftware so zum Stillstand gebracht werden.

Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland ist der Schutz durch Passwörter allein nicht mehr zeitgemäß. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und so Ihre Sicherheit massiv erhöhen. Kostenlosen Passkey-Guide sichern

Hinzu kommt die komplexe Angriffskette Chaotic Eclipse, analysiert von LevelBlue SpiderLabs. Sie zielt auf die Windows-Wiederherstellungsumgebung (WinRE) ab, um die BitLocker-Verschlüsselung zu umgehen und SYSTEM-Rechte zu erlangen.

Automatisierte Angriffe auf Entwickler-Plattformen

Das Ausmaß moderner Cyberangriffe zeigt die Megalodon-Kampagne auf GitHub. Am 18. Mai 2026 trafen Angreifer innerhalb von nur sieben Stunden 5.561 Repositories mit automatisierten Angriffen. Zwischen 11:36 und 17:48 UTC injizierten sie 5.718 gefälschte Commits unter Bot-Identitäten wie build-bot und auto-ci.

Die Angreifer nutzten zwei Schadsoftware-Varianten: SysDiag und Optimize-Build. Diese bösartigen CI/CD-Workflows sollten sensible Zugangsdaten stehlen – darunter Schlüssel für AWS, GCP und Azure sowie SSH-Keys und OIDC-Tokens. Besonders betroffen war das npm-Paket @tiledesk/tiledesk-server, das die Malware über die Versionen 2.18.6 bis 2.18.12 weiterverbreitete.

Zusätzlich wurden die Laravel Lang-Pakete kompromittiert. Zwischen dem 22. und 23. Mai 2026 entdeckten Forscher eine Hintertür für Remote-Code-Ausführung (RCE) in over 700 Versionen dieser Pakete. Der schädliche Code stiehlt Cloud-Konfigurationsdaten und Kryptowährungs-Wallets an einen Kommando-Server.

Diese Vorfälle sind Teil eines Trends zu passwortzentrierten Angriffen. Bei einem kürzlich gemeldeten Datenleck beim Connecticut Medicaid nutzten Angreifer gestohlene Zugangsdaten von Hartford HealthCare-Mitarbeitern. Der Angriff begann am 4. März und wurde am 25. März 2026 entdeckt – 22.500 Nutzerdaten wurden abgegriffen.

Microsoft verabschiedet sich von SMS-basierter Zwei-Faktor-Authentifizierung

Als Reaktion auf die anhaltende Bedrohung durch Credential-Diebstahl und Phishing kündigte Microsoft Ende Mai eine grundlegende Änderung an. Das Unternehmen wird SMS-basierte Codes für die Zwei-Faktor-Authentifizierung (2FA) und die Kontowiederherstellung für Privatnutzer schrittweise abschaffen.

Begründet wird der Schritt mit der Anfälligkeit von SMS für SIM-Swapping und ausgefeilte Phishing-Angriffe. Die Umstellung erfolgt auf Passkeys und verifizierte E-Mail-Adressen. Passkeys nutzen biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung und sind deutlich schwerer abzufangen. Sie können geräteübergreifend in den Ökosystemen von Apple, Google und Microsoft oder in Passwort-Managern wie Bitwarden und 1Password synchronisiert werden.

Ausblick: Ganzheitliche Verteidigung gegen Ransomware

Die Ereignisse Ende Mai 2026 zeigen: Ransomware-Abwehr geht längst über einfachen Endpunktschutz hinaus. Die Zerschlagung von Fox Tempest beweist, dass die Unterbrechung der finanziellen und technischen Infrastruktur von Cyberkriminellen breite Wirkung entfalten kann. Doch die schnelle Entdeckung neuer Zero-Day-Lücken in Defender zeigt auch: Die Angreifer bleiben hochgradig anpassungsfähig.

Unternehmen sollten die von CISA angeordneten Patches für Defender priorisieren. Die Megalodon- und Laravel-Lang-Vorfälle sind eine eindringliche Erinnerung: CI/CD-Pipelines und Drittanbieter-Pakete benötigen kontinuierliche Überwachung. Mit dem Abschied von SMS-basierter Authentifizierung wird die Einführung von Passkeys zum neuen Standard – für alle, die das Risiko großer Datenlecks und Ransomware-Angriffe minimieren wollen.

Der Fokus der kommenden Monate wird darauf liegen, die Entwickler-Umgebungen zu sichern und die Abwehr automatisierter Angriffe zu verbessern. Denn die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer massenhaften Ausnutzung wird immer kürzer.

de | wissenschaft | 69406868 |