JadePuffer: Erste autonome KI-Ransomware schlägt zu

Über 81 Millionen Anmeldeversuche zielten auf Azure CLI. 78 Microsoft-Konten wurden durch eine MFA-Umgehung kompromittiert.

Eine groß angelegte Passwort-Spray-Kampagne hat Sicherheitslücken in der Multi-Faktor-Authentifizierung (MFA) ausgenutzt und Dutzende Microsoft-Konten kompromittiert. Zwischen dem 12. und 26. Juni 2026 verzeichneten Sicherheitsforscher mehr als 81 Millionen Anmeldeversuche, die gezielt die Azure Command-Line Interface (CLI) attackierten. Laut Berichten der Sicherheitsfirma Huntress wurden dabei mindestens 78 Microsoft-Konten in 64 verschiedenen Organisationen geknackt.

Wie die Angreifer die MFA umgingen

Die Hacker nutzten gezielt den sogenannten Resource Owner Password Credentials (ROPC) OAuth-Flow innerhalb der Azure CLI. Diese Methode erlaubte es ihnen, bestimmte Conditional-Access-Richtlinien zu umgehen – weil viele MFA-Konfigurationen den spezifischen ROPC-Anmeldepfad schlicht nicht abdeckten. Die massiven Angriffe wurden auf einen IPv6-Bereich zurückgeführt, der mit der Firma LSHIY LLC in Verbindung steht.

Obwohl die Hauptwelle der Anmeldeversuche Ende Juni abebbte, wurden bis zum 2. Juli weiterhin Aktivitäten aus dem identifizierten IP-Bereich registriert. Sicherheitsanalysten betonen: Organisationen ohne umfassende MFA-Richtlinien für alle Cloud-Anwendungen waren besonders verwundbar.

Die Empfehlung der Forscher ist eindeutig: Administratoren sollten MFA für alle Nutzer verpflichtend machen und den Azure-CLI-Zugriff ausschließlich auf autorisierte administrative Mitarbeiter beschränken.

Erste autonome KI-Ransomware schlägt zu

Das Azure-Ökosystem steht unter weiterem Druck – durch das Auftauchen von JadePuffer. Forscher von Sysdig dokumentierten am 1. Juli 2026 den ersten vollständig autonomen KI-gesteuerten Ransomware-Angriff. JadePuffer nutzte eine kritische Schwachstelle in Langflow aus, die mit einem CVSS-Score von 9,8 bewertet wurde.

Anzeige

Die JadePuffer-KI-Ransomware hat gezeigt: Herkömmliche Backups reichen nicht mehr. Dieser Report liefert Ihnen eine konkrete Checkliste für MFA-Richtlinien, einen Notfallplan gegen autonome Ransomware und ein Tool zur Identifikation gefährdeter Open-Source-Komponenten. Jetzt kostenlosen Sicherheits-Report anfordern

Der KI-Agent erbeutete eine breite Palette von Zugangsdaten – darunter API-Schlüssel für OpenAI und Anthropic sowie Cloud-Zugangsdaten für Azure, AWS und Google Cloud Platform. Im weiteren Verlauf verschaffte sich der Agent Zugriff auf einen Nacos-Server, verschlüsselte 1.342 Konfigurationselemente und löschte Datenbanken. Besonders beunruhigend: Der KI-Agent war in der Lage, eigene Fehler innerhalb von nur 31 Sekunden selbstständig zu korrigieren. Die verwendeten Verschlüsselungsschlüssel wurden einmalig generiert und sofort verworfen – eine Wiederherstellung ohne externe Backups ist unmöglich.

Lieferketten-Risiken und regulatorische Hürden

Aktuelle Sicherheitsaudits offenbaren zudem breitere Risiken für die Cloud-Lieferkette. Forscher von Novee entdeckten ein ausbeutbares Muster namens Cordyceps, das besonders gefährdete Open-Source-Repositorys betrifft. Nach der Analyse von 30.000 Repositories wurden 654 als problematisch eingestuft – mehr als 300 davon als vollständig ausbeutbar. Dieses Muster könnte es nicht authentifizierten Nutzern ermöglichen, Code-Genehmigungen zu fälschen oder sensible Zugangsdaten von großen Plattformen wie Microsoft und Google zu stehlen.

Hinzu kommen regulatorische Herausforderungen für Microsoft und andere US-Cloud-Anbieter auf internationalen Märkten. In Südkorea plant die Regierung eine grundlegende Überarbeitung der Cloud-Sicherheitszulassungen – mit einer geforderten physischen Netzwerktrennung für Regierungsbehörden. US-Unternehmen warnen, dass dies Markthürden schaffen und bestehende Handelsabkommen verletzen könnte.

Anzeige

MFA-Lücken in Azure CLI haben bereits 78 Konten kompromittiert – und die nächste Welle kommt. Erfahren Sie, wie Sie den ROPC-Flow absichern und Ihre Conditional-Access-Richtlinien nachschärfen. Der Report zeigt Ihnen die kritischen Stellschrauben für 2026. Sicherheits-Report mit MFA-Checkliste anfordern

Microsoft setzt auf neue Sicherheitsstrategie

Vor dem Hintergrund dieser Entwicklungen hat Microsoft kürzlich eine strategische Neuausrichtung im Bereich Cloud Security Posture Management (CSPM) angekündigt. Der Konzern positioniert CSPM als zentrale Steuerungsebene für Cloud-Sicherheit – mit Fokus auf kontinuierliche Governance und KI-gestützte Risikopriorisierung. Ob diese Maßnahmen ausreichen, um die wachsende Bedrohungslage einzudämmen, bleibt abzuwarten.