Microsoft stoppt Ransomware-Angriffe auf Teams-Nutzer
ID: 2206596
Durch den Widerruf von mehr als 200 Zertifikaten hat Microsoft eine Welle von Rhysida-Ransomware-Angriffen auf Nutzer von Microsoft Teams gestoppt. Die Zertifikate wurden dazu genutzt, infizierte Teams-Installationsprogramme zu signieren.
Diese Angriffe waren Teil einer Malvertising-Kampagne Ende September, bei der Suchmaschinenanzeigen und SEO-Poisoning eingesetzt wurden, um gefälschte Microsoft Teams-Installationsprogramme zu verbreiten, die Windows-Geräte mit der Malware Oyster (auch bekannt als Broomstick und CleanUpLoader) infizierten.
Die Anzeigen und Domains führten zu Webseiten, die sich als Download-Seite von Microsoft Teams ausgaben. Durch Klicken auf den prominent angezeigten Download-Link wurde eine Datei namens „MSTeamsSetup.exe“ heruntergeladen, die denselben Dateinamen wie das offizielle Teams-Installationsprogramm hatte. Doch statt des gewünschten Programms enthielt diese einen Loader, der die signierte Oyster-Malware bereitstellte, wodurch die Angreifer Fernzugriff auf die infizierten Systeme erhielten, und Dateien stehlen, Befehle ausführen und zusätzliche Malware nachladen konnten.
Die dabei zum Einsatz gekommene Sicherheitslücke nutzte Vanilla Tempest bereits seit Juni und setzt seit September 2025 neben Code-Signing-Diensten von SSL.com, DigiCert und GlobalSign auch Trusted Signing ein. Die verwendete Malware Rhysida wurde hingegen bereits Mitte 2023 erstmals beobachtet und bereits in anderen Kampagnen genutzt, um Unternehmensnetzwerke zu infiltrieren. Auch in diesen Fällen wurde sie häufig über Malvertising verbreitet und als beliebte IT-Tools getarnt.
Nun wurden die Sicherheitszertifikate, die von den Cyberkriminellen zur Legitimierung ihrer Malware missbraucht wurden, von Microsoft widerrufen. Damit werden alle Dateien, die dieses Zertifikat nutzen künftig als nicht sicher eingestuft. Das ist ein wichtiger Schritt, um die Nutzer vor Malware zu bewahren. Doch auch die User selbst können sich schützen, indem sie Programme nur aus offiziellen Quellen herunterladen und installieren. Hier empfiehlt sich auch immer ein Blick auf die URL, denn auch wenn der Link vorgibt, zu Microsoft zu führen, muss das nicht stimmen. Sicherer ist es auch, die URL händisch einzugeben.
Über die 8com GmbH & Co. KG
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Über die 8com GmbH & Co. KG
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 22.10.2025 - 14:22 Uhr
Sprache: Deutsch
News-ID 2206596
Anzahl Zeichen: 3745
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 6321 484460
Kategorie:
Internet-Portale
Diese Pressemitteilung wurde bisher 115 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Microsoft stoppt Ransomware-Angriffe auf Teams-Nutzer"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
