{"id":5649,"date":"2025-11-04T08:05:02","date_gmt":"2025-11-04T08:05:02","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5649"},"modified":"2025-11-04T08:05:02","modified_gmt":"2025-11-04T08:05:02","slug":"ransomware-bande-missbraucht-microsoft-zertifikate","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5649","title":{"rendered":"Ransomware-Bande missbraucht Microsoft-Zertifikate"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Kontinuierlich offenstehende Hintert\u00fcren sind f\u00fcr Cyberkriminelle ein Freifahrtschein.\n

Dada Leee | shutterstock.com<\/p>\n<\/div>\n

Die Ransomware-Bande Rhysida ist speziell im Unternehmensumfeld ber\u00fcchtigt<\/a>. Nun scheint das kriminelle Hacker-Kollektiv neue Wege einschlagen zu wollen, wie ein Bericht des US-Sicherheitsanbieters Expel nahelegt<\/a>. Demnach setzen die Cyberkriminellen in ihrer aktuellen Angriffskampagne initial auf Malvertising<\/a>. Die malizi\u00f6sen Anzeigen laufen \u00fcber die Microsoft-Suchmaschine Bing und f\u00fchren auf Fake-Download-Seiten f\u00fcr popul\u00e4re Software wie Microsoft Teams, PuTTY oder Zoom.<\/p>\n

Benutzer, die \u00fcber diese Seiten einen Download initiieren, bekommen (unter anderem) eine Schadsoftware<\/a> namens \u201cOysterLoader\u201d geliefert \u2013 ausgestattet mit einem legitim erscheinenden Microsoft-Zertifikat. Dabei handelt es sich laut den Sicherheitsexperten um ein Initial Access Tool, dessen einziger Zweck darin besteht, eine persistente Backdoor auf dem System zu schaffen, \u00fcber die die Cyberkriminellen langfristigen Zugriff erhalten.\u00a0<\/p>\n

So untergr\u00e4bt Rhysida die Trust-Chain<\/h1>\n

Um einer Detection zu entgehen \u2013 oder diese zu erschweren \u2013 setzt die Rhysida-Angriffskampagne auf eine zweistufige Strategie:<\/p>\n

Zun\u00e4chst wird die Schadsoftware ver-, beziehungsweise gepackt, um die Malware zu komprimieren, zu verschl\u00fcsseln oder zu verschleiern. Das sorgt f\u00fcr geringe statische Erkennungsraten, wenn die Schadsoftware erstmals entdeckt wird.<\/p>\n

Anschlie\u00dfend benutzt die Ransomware-Bande vertrauensw\u00fcrdige Code-Signing-Zertifikate<\/a> von Microsoft, um ihren b\u00f6sartigen Dateien das n\u00f6tige Ma\u00df an \u201cTrust\u201d angedeihen zu lassen.<\/p>\n

\u201cTrusted-Signing-Zertifikate werden mit einer G\u00fcltigkeitsdauer von 72 Stunden ausgestellt. Danach laufen sie ab und m\u00fcssen erneuert werden. Das macht es eigentlich unm\u00f6glich, Zertifikate zu kaufen und weiterzuverkaufen. Die Rhysida-Bande \u2013 oder einer ihrer Supplier<\/a> \u2013 hat jedoch eine M\u00f6glichkeit gefunden, das vertrauensw\u00fcrdige Signatursystem von Microsoft zu missbrauchen, um Dateien in gro\u00dfem Umfang signieren zu k\u00f6nnen\u201d, halten die Expel-Spezialisten in ihrer Untersuchung fest.<\/p>\n

Amit Jaju<\/a>, Senior Managing Director bei Ankura Consulting, gibt weiteren Kontext: \u201cSignierte Bin\u00e4rdateien genie\u00dfen innerhalb von Windows und vielen Sicherheits-Tools automatisches Vertrauen. Deswegen laufen sie oft ohne \u00dcberpr\u00fcfung durch. Bis das auf Verteidigerseite auff\u00e4llt und entsprechende Sperrungen veranlasst sind, sind die Angreifer l\u00e4ngst auf neue Zertifikate umgestiegen.\u201d<\/p>\n

Laut der Expel-Analyse setzt die Rhysida-Gang inzwischen verst\u00e4rkt auf solche Code-Signing-Zertifikate. So habe sich deren Einsatz \u00fcber verschiedene Angriffskampagnen hinweg drastisch gesteigert. Das deute darauf hin, dass die Cyberkriminellen schneller arbeiteten und mehr Ressourcen einsetzten.<\/p>\n

Forensische Signale beachten<\/h1>\n

Kampagnen, die vertrauensw\u00fcrdige Zertifikate ausnutzen, untergraben das Trust-Modell, auf das sich Unternehmen verlassen. Signierte Malware umgeht App-Zulassungslisten, Browser-Alerts, Betriebssystempr\u00fcfungen und Antivirus-Kontrollen. Zudem sinkt die Hemmschwelle der Belegschaft, Dateien herunterzuladen, wenn es sich dabei augenscheinlich um bekannte, popul\u00e4re Software wie Teams oder PuTTY handelt. \u201cSobald die Schadsoftware ins System gelangt ist, verschafft sie sich Persistenz und zieht weitere Payloads nach sich. Ein einzelner, kompromittierter Endpunkt kann so schnell in laterale Bewegungen m\u00fcnden und schlie\u00dflich in einer Ransomware-Attacke<\/a> gipfeln\u201d, warnt Jaju.<\/p>\n

Das erfordert von den Verteidigern, ihre Denkweise neu auszurichten \u2013 meint etwa Devroop Dhar<\/a>, Mitbegr\u00fcnder der Technologieberatung Primus Partners: \u201cWir sollten nicht davon ausgehen, dass signierte Dateien sicher sind. \u00dcberpr\u00fcfen Sie zun\u00e4chst, woher das Installationsprogramm stammt: von der Website eines Anbieters oder einen dubiosen Suchmaschinen-Link. Diese kleinen Details verraten oft schon alles. Neue, nicht \u00fcbereinstimmende Namen von Herausgebern oder Zertifikate, die vor ungew\u00f6hnlich kurzer Zeit ausgestellt wurden, sollten Verdacht erregen.\u201d<\/p>\n

Der Experte empfiehlt Anwenderunternehmen, Endpunkte auf rundll32-, PowerShell- oder msiexec-Prozessketten zu untersuchen \u2013 also nicht auf bestimmte Malware-Namen zu achten, sondern auf wiederkehrende Verhaltensmuster. Das sieht Manager Jaju \u00e4hnlich. Seine Empfehlung: \u201cNutzen Sie EDR-L\u00f6sungen<\/a>, die auf Behavior fokussieren, statt auf Trust-Tags. Legen Sie Zertifikate f\u00fcr unternehmenskritische Anwendungen fest, damit nur bekannte und genehmigte ausgef\u00fchrt werden k\u00f6nnen. F\u00fcttern Sie Ihre Detection-Pipelines mit Bedrohungsinformationen, damit Kompromittierungsindikatoren direkt Ma\u00dfnahmen ausl\u00f6sen. Und um gef\u00e4lschte Download-Pfade zu blockieren, empfehlen sich DNS-Kontrollen und -Filter.\u201d<\/p>\n

Beide Experten sind sich einig, dass das Problem \u00fcber einzelne Organisationen hinausgeht. Der Missbrauch des Trusted Signing Service von Microsoft decke demnach systemische Schwachstellen auf, die eine strengere Zertifikats\u00fcberpr\u00fcfung sowie eine st\u00e4rkere branchenweite Aufsicht erforderten. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Kontinuierlich offenstehende Hintert\u00fcren sind f\u00fcr Cyberkriminelle ein Freifahrtschein. Dada Leee | shutterstock.com Die Ransomware-Bande Rhysida ist speziell im Unternehmensumfeld ber\u00fcchtigt. Nun scheint das kriminelle Hacker-Kollektiv neue Wege einschlagen zu wollen, wie ein Bericht des US-Sicherheitsanbieters Expel nahelegt. Demnach setzen die Cyberkriminellen in ihrer aktuellen Angriffskampagne initial auf Malvertising. Die malizi\u00f6sen Anzeigen laufen \u00fcber die Microsoft-Suchmaschine […]<\/p>\n","protected":false},"author":0,"featured_media":5650,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5649","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5649"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5649"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5649\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5650"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5649"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5649"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}