Der US-Konzern hat die digitale Basis einer hochprofessionellen Hackergruppe zerschlagen, die als Dienstleister für die gefährlichsten Ransomware-Banden der Welt arbeitete. Die Aktion richtet sich gegen einen zentralen „Ermöglicher“ im Cybercrime-Ökosystem.
Microsofts Digital Crimes Unit (DCU) hat die Gruppe Fox Tempest lahmgelegt, die kriminellen Organisationen gefälschte Code-Signaturen lieferte. Diese digitalen Echtheitsstempel erlaubten es Schadsoftware, als legitime Anwendungen wie Microsoft Teams oder Webex durchzugehen und Sicherheitssysteme zu umgehen. Der Fall wurde am Dienstag öffentlich gemacht.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Unternehmen schützen
Ein juristischer und technischer Schlag
Die entscheidende Phase begann am 19. Mai 2026, als Microsoft eine Zivilklage vor dem US-Bezirksgericht für den Südbezirk von New York einreichte. Diese rechtliche Grundlage erlaubte es dem Konzern, die zentralen Internet-Domänen und Server der Gruppe zu übernehmen. Im Zentrum stand die Beschlagnahmung der Hauptwebsite von Fox Tempest, die als Portal für die kriminelle Kundschaft diente.
In Zusammenarbeit mit US-Behörden und dem Europäischen Zentrum für Cyberkriminalität bei Europol neutralisierten die Ermittler zudem hunderte virtuelle Maschinen. Die Gruppe hatte ihre Infrastruktur erst Anfang 2026 zu einem Anbieter in Dubai verlagert, um westlichen Strafverfolgern zu entgehen. Ein Gerichtsbeschluss vom Mai erlaubt Microsoft jedoch, die schädlichen Domänen zu blockieren und rund 1.000 Konten zu sperren.
Ein zentraler Erfolg: die Massenwiderrufung von mehr als 1.000 gefälschten Code-Signatur-Zertifikaten. Diese waren das Kernprodukt von Fox Tempest – digitale „Gütesiegel“, die Malware als vertrauenswürdige Software tarnten.
Malware-Signing als Dienstleistungsmodell
Fox Tempest agierte wie ein professionelles Unternehmen. Seit mindestens Mai 2025 bot die Gruppe „Malware-Signing-as-a-Service“ (MSaaS) an – mit gestaffelten Preisen und Kundenservice. Die Tarife lagen zwischen 5.000 und 9.500 Euro pro Zugang. Höher zahlende Kunden erhielten Priorität bei der Erstellung neuer Zertifikate.
Um an die Signaturen zu kommen, missbrauchte Fox Tempest Microsofts eigene Artifact Signing-Infrastruktur – ein System, das eigentlich Entwicklern helfen soll, die Integrität ihrer Software zu prüfen. Die Gruppe nutzte gestohlene Identitäten aus den USA und Kanada, um die Identitätsprüfungen zu umgehen. Einmal im System, generierten sie kurzlebige Zertifikate mit einer Gültigkeit von 72 Stunden. Die signierte Malware tarnte sich als gängige Anwendungen wie Microsoft Teams, Webex oder PuTTY und umging so die automatischen Sicherheitswarnungen.
Die Verbindungen zu den großen Ransomware-Banden
Fox Tempest führte selbst keine Ransomware-Angriffe durch – aber seine Dienste waren die Grundlage für Gruppen, die dies taten. Microsofts Analyse verknüpft die Gruppe mit mehreren prominenten Ransomware-Familien, darunter Rhysida (von Microsoft als Vanilla Tempest bezeichnet), Akira und Qilin.
Vanilla Tempest, im Zivilverfahren als Mittäter genannt, verantwortet eine Reihe spektakulärer Angriffe auf kritische Infrastrukturen. Krankenhäuser, medizinische Einrichtungen und Schulbezirke standen im Fokus. Mit den Zertifikaten von Fox Tempest verschafften sie sich Zugang zu Netzwerken, stahlen Daten mit Tools wie Lumma Stealer und Vidar – und setzten erst dann die Erpressungssoftware ein.
Die Auswirkungen waren global spürbar. Im Jahr vor der Zerschlagung wurden Angriffe mit Fox-Tempest-Unterstützung in den USA, Frankreich, Indien und China dokumentiert. Die Möglichkeit, Malware hinter einem „geprüften“ Label zu verstecken, erlaubte es Angreifern oft, unentdeckt zu bleiben – lange genug, um Backups zu löschen und riesige Datenmengen zu stehlen.
Rekord-Schäden durch Phishing und Malware zeigen, wie wichtig Prävention für Firmen heute ist. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten gegen Cyberkriminalität absichern. Kostenlosen Phishing-Schutz-Ratgeber sichern
Der strategische Wandel: Angriff auf die Lieferkette
Die Aktion gegen Fox Tempest zeigt einen grundlegenden Wandel in der Cybersicherheitsstrategie. Statt einem endlosen „Whack-a-Mole“ mit einzelnen Ransomware-Angriffen hinterherzujagen, konzentrieren sich große Technologiekonzerne zunehmend auf die „Upstream“-Akteure – die Dienstleister, die spezialisierte Werkzeuge für die Cyberkriminalität bereitstellen.
Die Störung eines einzigen MSaaS-Anbieters kann gleichzeitig ein dutzend verschiedener Ransomware-Gruppen treffen, die auf diese Signatur-Funktion angewiesen waren. In den Tagen nach dem ersten Eingriff berichteten Ermittler von erheblichen Problemen in Untergrund-Foren: Kriminelle Nutzer klagten über Schwierigkeiten beim Zugriff auf die bezahlten Dienste.
Der Fall offenbart auch eine grundlegende Verwundbarkeit der digitalen Vertrauenssysteme. Dass eine kriminelle Gruppe mit gestohlenen Identitäten offizielle Software-Signatur-Werkzeuge missbrauchen konnte, zeigt die anhaltende Herausforderung für Cloud-Anbieter: die Balance zwischen Benutzerfreundlichkeit für legitime Entwickler und der rigorosen Überprüfung, die nötig ist, um Kriminelle fernzuhalten.
Ausblick: Die Zukunft der Software-Lieferkettensicherheit
Microsoft hat nach der Zerschlagung technische Änderungen an seinen Entra ID- und Artifact Signing-Plattformen vorgenommen. Dazu gehören verstärkte Identitätsprüfungen für neue Mandanten und eine robustere Überwachung der „Schnellfeuer“-Zertifikatserstellung, wie sie Fox Tempest betrieb.
Doch die Bedrohung bleibt dynamisch. Wie Anfang 2026 zu sehen war, als Fox Tempest seine Infrastruktur in den Nahen Osten verlagerte, werden Cyberkriminelle immer besser darin, zwischen Rechtsräumen zu wechseln. Die Digital Crimes Unit kündigte an, weiterhin mit einer globalen Koalition von Strafverfolgungsbehörden zusammenzuarbeiten, um die Identitäten der Hintermänner aufzudecken – von denen viele in Regionen ohne Auslieferungsabkommen mit den USA operieren.
Für Unternehmen bleibt die Botschaft der Experten eindeutig: Ein „geprüftes“ oder „signiertes“ Etikett auf einer Software ist keine Sicherheitsgarantie mehr. Mehrschichtige Verteidigungsstrategien bleiben unverzichtbar, um Angreifer zu stoppen, die mit gefälschten Ausweisen durch die digitale Eingangstür gelangen.
