Die Digital Crimes Unit von Microsoft hat eine Cyberkriminellen-Gruppe zerschlagen, die gefälschte digitale Signaturen an Ransomware-Banden verkaufte.
Das als Fox Tempest bekannte Netzwerk betrieb ein „Malware-Signing-as-a-Service“-Modell. Gegen Bezahlung erhielten Kriminelle signierte Schadsoftware, die von Sicherheitslösungen nicht erkannt wurde. Mit einer einstweiligen Verfügung des US-Bezirksgerichts für den Südbezirk von New York gelang es Microsoft, die Infrastruktur zu beschlagnahmten, über 1.000 gefälschte Code-Signing-Zertifikate zu widerrufen und hunderte virtuelle Maschinen abzuschalten.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Die Aktion, die am Dienstag bekannt gegeben wurde, zeigt einen besorgniserregenden Trend: Cyberkriminelle untergraben gezielt die Vertrauensmechanismen der digitalen Welt. Mit gültig aussehenden Signaturen umgingen die Täter Sicherheitskontrollen, die normalerweise unsignierte Dateien blockieren. Betroffen waren Einrichtungen im Gesundheitswesen, Bildungseinrichtungen und Regierungsbehörden in den USA, Frankreich, Indien und China.
Wie Fox Tempest das Vertrauenssystem aushebelte
Das kriminelle Geschäftsmodell basierte auf dem Missbrauch von Microsoft Artifact Signing – einem System, das eigentlich legitimen Entwicklern helfen soll, die Integrität ihrer Software nachzuweisen. Fox Tempest fälschte Identitäten und gab sich als seriöse Organisationen aus, um an kurzlebige Code-Signing-Zertifikate zu gelangen.
Diese Zertifikate, die oft nur 72 Stunden gültig waren, wurden genutzt, um Malware als vertrauenswürdige Software wie Microsoft Teams, AnyDesk oder PuTTY zu tarnen. Die Gruppe agierte wie ein professionelles Software-as-a-Service-Unternehmen mit gestaffelten Preismodellen: Zwischen 5.000 und 9.500 Euro zahlten Kriminelle für den Dienst, wobei höhere Preise eine bevorzugte Bearbeitung im Signing-Queue bedeuteten.
Kunden luden ihre schädlichen Programme über ein Portal hoch und erhielten signierte Dateien zurück – bereit für den Einsatz. Microsofts Sicherheitsteams verfolgten die Aktivitäten von Fox Tempest seit September 2025. Die Gruppe hatte hunderte Azure-Konten eingerichtet und bot später sogar vorkonfigurierte virtuelle Maschinen an – ein Schritt, der weniger technisch versierten Hackern den Einstieg erleichterte.
Juristischer Schlag gegen die Infrastruktur
Die Zerschlagung war das Ergebnis einer koordinierten rechtlichen und technischen Aktion. Microsoft reichte am 5. Mai Zivilklage gegen Fox Tempest und die mit ihnen verbundene Ransomware-Gruppe Vanilla Tempest ein. Drei Tage später autorisierte ein Gerichtsbeschluss die Beschlagnahme der Kerninfrastruktur, einschließlich der Hauptwebsite signspace.cloud.
Die Digital Crimes Unit leitete die beschlagnahmten Domains auf firmeneigene Server um und schaltete hunderte virtuelle Maschinen ab. Diese waren über mehrere Anbieter in Großbritannien, Estland und den Vereinigten Arabischen Emiraten verteilt. Überwachte Kommunikation der Cyberkriminellen zeigte erhebliche Verunsicherung – einige Betreiber weigerten sich, weitere Zertifikate zu verkaufen.
„Diese gefälschten Signaturen waren wie falsche Ausweise, mit denen Angreifer durch die Vordertür sicherer Netzwerke spazieren konnten“, erklärte Steven Masada von der Rechtsabteilung der Einheit. Durch die gezielte Störung der Lieferkette von Cyberkriminalität will Microsoft die Kosten für kriminelle Operationen insgesamt erhöhen.
Verbindungen zu großen Ransomware-Gruppen
Die Reichweite von Fox Tempest war enorm. Microsoft verknüpft die signierte Malware mit Gruppen wie Rhysida, Storm-0501, Storm-2561 und Storm-0249. Diese nutzten die signierten Binärdateien, um Ransomware-Familien wie Akira, Qilin und Inc. zu verbreiten.
Neben Ransomware signierte der Dienst auch verschiedene „Infostealer“-Schädlinge wie Lumma Stealer, Vidar und Oyster. Die Auslieferung erfolgte häufig über „Malvertising“ – gekaufte Werbeanzeigen, die Nutzer auf manipulierte Links lockten. Branchenkreisen zufolge erzielte Fox Tempest mit diesen Aktivitäten Millionenumsätze.
Rekord-Schäden durch Phishing und Malware zeigen, warum immer mehr Unternehmen jetzt auf gezielte Awareness-Kampagnen setzen müssen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Anti-Phishing-Paket gratis anfordern
Die signierten Dateien wurden kaum von Antivirenprogrammen erkannt, was die Erfolgsquote der Erstinfektionen deutlich erhöhte.
Die Industrialisierung der Cyberkriminalität
Die Zerschlagung von Fox Tempest zeigt, wie professionell die Cybercrime-Wirtschaft inzwischen organisiert ist. Statt einzelner Hacker, die ihre eigenen Werkzeuge bauen, dominiert ein fragmentiertes Ökosystem: Spezialisten bieten einzelne Dienstleistungen an – vom Diebstahl von Zugangsdaten über die Erstellung von Konten bis hin zum Signieren von Code.
Microsoft hatte bereits zuvor erfolgreich andere Knotenpunkte dieses Ökosystems zerschlagen, darunter den Phishing-Dienst RaccoonO365 und den Anbieter RedVDS. Die Aktion gegen RedVDS im Januar war die erste größere Zivilklage des Unternehmens außerhalb der USA.
Sicherheitsexperten betonen, dass Fox Tempest eine neue Stufe der Professionalisierung darstellte. Die zweisprachige englisch-russische Benutzeroberfläche und die automatisierten VM-Bereitstellungen zeigten den Wandel hin zu einer kriminellen Infrastruktur, die nach betriebswirtschaftlichen Prinzipien funktioniert.
Ausblick: Schutz für die Zukunft
Obwohl die Aktion Fox Tempest erheblich geschwächt hat, warnt Microsoft vor einer möglichen Wiederbelebung unter neuer Identität. Das Unternehmen arbeitet mit dem FBI und Europols Europäischem Cybercrime-Zentrum zusammen, um die Drahtzieher zu identifizieren.
Gleichzeitig verschärft Microsoft die Verifikationsprozesse für seine Artifact-Signing-Dienste. Strengere Identitätsprüfungen für Organisationen, die Code-Signing-Zertifikate beantragen, sollen die von Fox Tempest genutzten Lücken schließen. Tausende Ingenieure arbeiten daran, Cloud- und KI-Plattformen gegen Missbrauch zu härten.
Der Kampf gegen Malware-Signing-Dienste bleibt eine Priorität. Solange digitale Signaturen das primäre Vertrauensmerkmal für Betriebssysteme sind, werden Kriminelle versuchen, die ausstellende Infrastruktur zu kompromittieren. Die Zukunft der Abwehr liegt in der automatisierten Erkennung von Identitätsbetrug während des Zertifikatserstellungsprozesses – und in der internationalen juristischen Zusammenarbeit, um die physischen Server dieser illegalen Dienste abzuschalten.
