Mittelstandspresse
22.10.2025
Microsoft stoppt Ransomware-Angriffe auf Teams-Nutzer
Durch den Widerruf von mehr als 200 Zertifikaten hat Microsoft eine Welle von Rhysida-Ransomware-Angriffen auf Nutzer von Microsoft Teams gestoppt. Die Zertifikate wurden dazu genutzt, infizierte Teams-Installationsprogramme zu signieren.
Neustadt an der Weinstraße, 22.10.2025 (PresseBox) - Durch die immer größere Verbreitung von Remote-Arbeitsplätzen sind auch Plattformen wie Zoom oder Microsoft Teams auf dem Vormarsch und werden zunehmend für Chats, Video-Calls und Terminabsprachen genutzt. Cyberkriminelle versuchen immer wieder, das für sich zu nutzen und greifen diese Plattformen gezielt an. Im aktuellen Fall hat die Hackergruppe Vanilla Tempest eine Reihe von Domains verwendet, die sich als Microsoft Teams ausgaben, um gefälschte MSTeamsSetup.exe-Dateien zu verbreiten.
Diese Angriffe waren Teil einer Malvertising-Kampagne Ende September, bei der Suchmaschinenanzeigen und SEO-Poisoning eingesetzt wurden, um gefälschte Microsoft Teams-Installationsprogramme zu verbreiten, die Windows-Geräte mit der Malware Oyster (auch bekannt als Broomstick und CleanUpLoader) infizierten.
Die Anzeigen und Domains führten zu Webseiten, die sich als Download-Seite von Microsoft Teams ausgaben. Durch Klicken auf den prominent angezeigten Download-Link wurde eine Datei namens „MSTeamsSetup.exe“ heruntergeladen, die denselben Dateinamen wie das offizielle Teams-Installationsprogramm hatte. Doch statt des gewünschten Programms enthielt diese einen Loader, der die signierte Oyster-Malware bereitstellte, wodurch die Angreifer Fernzugriff auf die infizierten Systeme erhielten, und Dateien stehlen, Befehle ausführen und zusätzliche Malware nachladen konnten.
Die dabei zum Einsatz gekommene Sicherheitslücke nutzte Vanilla Tempest bereits seit Juni und setzt seit September 2025 neben Code-Signing-Diensten von SSL.com, DigiCert und GlobalSign auch Trusted Signing ein. Die verwendete Malware Rhysida wurde hingegen bereits Mitte 2023 erstmals beobachtet und bereits in anderen Kampagnen genutzt, um Unternehmensnetzwerke zu infiltrieren. Auch in diesen Fällen wurde sie häufig über Malvertising verbreitet und als beliebte IT-Tools getarnt.
Nun wurden die Sicherheitszertifikate, die von den Cyberkriminellen zur Legitimierung ihrer Malware missbraucht wurden, von Microsoft widerrufen. Damit werden alle Dateien, die dieses Zertifikat nutzen künftig als nicht sicher eingestuft. Das ist ein wichtiger Schritt, um die Nutzer vor Malware zu bewahren. Doch auch die User selbst können sich schützen, indem sie Programme nur aus offiziellen Quellen herunterladen und installieren. Hier empfiehlt sich auch immer ein Blick auf die URL, denn auch wenn der Link vorgibt, zu Microsoft zu führen, muss das nicht stimmen. Sicherer ist es auch, die URL händisch einzugeben.
Ansprechpartner
Felicitas Kraus
+49 (30) 30308089-14
Zuständigkeitsbereich: Pressereferentin
Julia Olmscheid
+49 6321 484460
Zuständigkeitsbereich: Head of Communications
Über 8com GmbH & Co. KG:
Über die 8com GmbH & Co. KG
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
- Mehr Infos zu dieser Meldung unter www.pressebox.de
- zurück zur Übersicht
