Microsoft legt den Notar der Ransomware lahm – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Microsoft legt den Notar der Ransomware lahm

Microsoft hat einen geheimen digitalen Signaturdienst abgeschaltet, den Cyberkriminelle nutzten, um ihre Viren als "sicher" erscheinen zu lassen. Diese Operation versetzt der Infrastruktur hinter Ransomware-Angriffen einen schweren Schlag.

Ein zerbrochenes Siegel und Ketten über dem Microsoft-Logo

Was ist passiert

Microsoft hat eine stille, aber tiefgreifende Operation in der Welt der Cybersicherheit durchgeführt. Der Technologieriese gab bekannt, dass er eine Infrastruktur zerschlagen hat, die von Ransomware-Banden seit Jahren genutzt wird: eine Art "digitaler Notardienst". Dieser Dienst versah schädliche Software, die versuchte, in Ihren Computer einzudringen, mit einem gefälschten "vertrauenswürdig"-Stempel. Mit anderen Worten, es war ein Betrugszentrum, das darauf ausgelegt war, die Sicherheitssysteme Ihres Computers zu täuschen.

Stellen Sie sich vor, jemand kommt zu Ihnen nach Hause und zeigt dem Wachmann an der Tür einen offiziellen, versiegelten Ausweis. Der Wachmann erkennt nicht, dass der Ausweis gefälscht ist, und lässt die Person herein. Genau das tat der illegale Dienst, bekannt als "Cryp-Sign", für die Viren von Cyberkriminellen. Er versorgte Viren mit digitalen Zertifikaten, die sie so aussehen ließen, als wären sie von Microsoft oder einem anderen legitimen Softwareunternehmen erstellt worden. Dies ermöglichte es ihnen, selbst die Computer der vorsichtigsten Benutzer zu infiltrieren.

Das Threat Intelligence Team von Microsoft hatte diesen Dienst monatelang im Visier. Ihrer Erklärung zufolge war dies nicht nur eine einfache Operation zur Schließung einer Website. Die Server des Dienstes wurden beschlagnahmt, die von ihnen verwendeten digitalen Zertifikate wurden widerrufen, und es wurden wichtige Informationen über die Identität der Gruppen erlangt, die diese Struktur betrieben. Dies ist ein schwerer Rückschlag für das Ransomware-Ökosystem.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Welche Daten wurden kompromittiert

Diese Nachricht ist kein klassischer Fall von "Daten von so und so vielen Millionen Nutzern wurden gestohlen". Denn diese Operation zielte auf den Laden, der Dieben Dietriche und Schlösser verkauft, nicht auf eine Gruppe von Dieben selbst. Cryp-Sign selbst hat also nicht direkt Ihre Fotos oder Passwörter gestohlen. Aber die von diesem Dienst "abgestempelte" Ransomware tat genau das.

Ransomware richtet typischerweise zwei Hauptschäden an, wenn sie auf Ihren Computer gelangt. Erstens verschlüsselt sie alle Ihre wichtigen Dateien (Fotos, Dokumente, Videos) mit einem sehr starken Passwort und verlangt Geld, normalerweise Bitcoin, um sie wieder freizugeben. Zweitens, und vielleicht noch schlimmer, exfiltriert sie eine Kopie Ihrer Dateien auf ihre eigenen Server, bevor sie diese verschlüsselt. Wenn Sie das Lösegeld nicht zahlen, drohen sie damit, Ihre privaten Daten online zu veröffentlichen. Dies wird als "doppelte Erpressung" bezeichnet.

Obwohl also durch die Abschaltung des Cryp-Sign-Dienstes keine Benutzerdaten direkt kompromittiert wurden, ist die Menge der Daten, die von Angreifern gestohlen wurden, die diesen Dienst nutzten, um unzählige Unternehmen und Privatpersonen zu infiltrieren, riesig. Dazu gehören Finanzunterlagen von Unternehmen, Kundenlisten, persönliche Gesundheitsinformationen, Familienfotos und viele andere sensible Daten. Um über solche Angriffe auf dem Laufenden zu bleiben, ist es nützlich, regelmäßig Quellen wie die Datenleck Nachrichten zu prüfen.

Wie der Angriff funktionierte

Die Angriffsmethode selbst, die Funktionsweise von Cryp-Sign, war ziemlich clever und ebenso gefährlich. Normalerweise, wenn Sie Software entwickeln, signieren Sie sie mit einem sogenannten "Codesignaturzertifikat", damit Betriebssysteme (wie Windows) ihr vertrauen. Dies ist ein digitales Siegel, das garantiert, dass die Software von Ihnen stammt und unterwegs nicht manipuliert wurde.

Das ist eines der größten Probleme für Cyberkriminelle. Ihre Viren sind nicht signiert und werden daher von Antivirenprogrammen und Betriebssystemen schnell erkannt. Hier kam Cryp-Sign ins Spiel. Der Dienst verfügte über Hunderte von digitalen Zertifikaten, die entweder gestohlen oder mit gefälschten Informationen erstellt worden waren. Ransomware-Banden luden ihren vorbereiteten Virus zu Cryp-Sign hoch, und der Dienst versah ihn mit einer scheinbar gültigen digitalen Signatur und schickte ihn zurück.

Jetzt hatte der Virus einen "vertrauenswürdigen" Stempel. Dieser signierte Virus wurde den Opfern in der Regel über Methoden wie eine gefälschte Rechnung in einem E-Mail-Anhang, eine Paketverfolgungsdatei oder ein gefälschtes Software-Update zugesandt. Wenn der Benutzer auf diese Datei klickte, zeigte der Sicherheitsbildschirm von Windows oder des Antivirenprogramms entweder gar keine Warnung an oder täuschte den Benutzer mit der Meldung "Verifizierter Herausgeber". In dem Moment, in dem der Benutzer dachte, "das ist sicher", übergab er tatsächlich sein gesamtes System an Cyberkriminelle. Die Operation von Microsoft hat dieses Netzwerk von gefälschten Notaren vollständig zerschlagen.

Wer war betroffen

Die Kunden dieses Dienstes, also diejenigen, die ihn nutzten, gehören zu den gefährlichsten Gruppen in der Welt der Cyberkriminalität. Microsoft erwähnte ausdrücklich, dass große Ransomware-Banden wie LockBit, Conti (obwohl nicht mehr aktiv, existieren ihre Ableger weiter) und BlackCat diesen Dienst aktiv nutzten. Diese Gruppen sind dafür bekannt, Krankenhäuser, Schulen, Regierungsbehörden und Tausende von Unternehmen jeder Größe weltweit anzugreifen.

Indirekt sind wir also alle betroffen. Wegen der Angriffe dieser Gruppen wurden Krankenhaustermine abgesagt, Unternehmen mussten die Produktion einstellen, und persönliche Informationen von Menschen wurden im Dark Web zum Verkauf angeboten. Das Ende von Cryp-Sign wird es diesen Gruppen erschweren, neue Angriffe zu starten. Sie müssen nun neue, umständlichere Wege finden, um ihre Viren legitim erscheinen zu lassen. Das wird sie sowohl Zeit als auch Geld kosten. Kurz gesagt, durch diese Operation wurden potenziell Tausende von Angriffen verhindert, bevor sie überhaupt stattfinden konnten.

Was Sie tun können

Sie fragen sich vielleicht: "Okay, Microsoft hat etwas lahmgelegt, aber was bedeutet das für mich?" Eine sehr berechtigte Frage. Hier sind einige spezifische, nicht klischeehafte Ratschläge für Sie:

  • Aktivieren Sie die "Reputationsprüfung" Ihres Antivirenprogramms: Die meisten modernen Antivirenprogramme überprüfen nicht nur Virensignaturen, sondern auch, wie lange eine Datei oder ein Zertifikat bereits existiert und wie weit es verbreitet ist. Da Dienste wie Cryp-Sign ständig neue und verdächtige Zertifikate erstellen, kann diese "reputationsbasierte Schutzfunktion" gefälschte Signaturen erkennen. Überprüfen Sie Ihre Einstellungen und stellen Sie sicher, dass diese Funktion aktiv ist.
  • Deaktivieren Sie niemals Windows SmartScreen: Die in Windows integrierte SmartScreen-Funktion ist genau die Verteidigungsschicht gegen diese Art von falsch signierten, aber verdächtigen Anwendungen. Auch wenn die Warnungen manchmal lästig sein können, hat diese Operation erneut gezeigt, wie wichtig sie ist. Lassen Sie sie unbedingt aktiviert.
  • Achten Sie auf den Namen des "verifizierten Herausgebers": Wenn Sie bei der Installation eines Programms eine Sicherheitswarnung mit "Verifizierter Herausgeber" (Verified Publisher) sehen, vertrauen Sie ihr nicht blind. Schauen Sie sich den Namen des Herausgebers an. Wenn Sie zum Beispiel "Microsft Corp" anstelle von "Microsoft Corporation" oder einen unsinnigen Namen (wie "1_ClickSoftware LLC") sehen, ist das ein großes Warnsignal. Brechen Sie die Installation im Zweifelsfall ab.
  • Prüfen Sie auf frühere Datenlecks: Angriffe dieser Art finden ständig statt, und vielleicht wurden Ihre Informationen bereits bei einem anderen Leck kompromittiert, ohne dass Sie es wissen. Diese Daten können für gezielte Phishing-E-Mails verwendet werden. Die Nutzung einer Datenleck Suche, um zu prüfen, ob Ihre E-Mail-Adresse bei früheren Lecks aufgetaucht ist, ist ein proaktiver Verteidigungsschritt.

Was das Unternehmen sagt

Microsoft bezog in seinem Blogbeitrag über die Operation eine sehr klare Haltung. Clint Watts, Vizepräsident des Threat Intelligence Center von Microsoft, erklärte: "Diese Operation hat den Cyberkriminellen eines ihrer vertrauenswürdigsten Werkzeuge genommen. Wir zwingen sie, sichtbarer, lauter und leichter zu erkennen zu sein." Watts fügte hinzu, dass dies kein einmaliger Sieg sei und ihr Kampf gegen die Infrastruktur der Cyberkriminalität unermüdlich weitergehen werde. In der Erklärung wurde auch hervorgehoben, dass die Operation in Abstimmung mit Strafverfolgungsbehörden in den USA und Europa durchgeführt wurde. Dies ist ein Zeichen dafür, dass in Zukunft auch rechtliche Schritte gegen die Betreiber dieses Dienstes eingeleitet werden könnten.

Quelle

https://thehackernews.com/2026/05/microsoft-takes-down-malware-signing.html

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Grafana GitHub-Leck legt Quellcode offen Nächster Beitrag →

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.