Microsoft Teams Server bei DragonForce Ransomware-Angriff missbraucht – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Microsoft Teams Server bei Ransomware-Angriff missbraucht

Die Ransomware-Gruppe DragonForce hat Aufmerksamkeit erregt, indem sie die vertrauenswürdige Infrastruktur von Microsoft Teams als Command-and-Control-Server nutzte, um Cybersicherheitsabwehr zu umgehen.

Eine Drachenfigur, die hinter dem Microsoft Teams-Logo erscheint und einen Cyberangriff symbolisiert.

Was ist passiert

Die Welt der Cybersicherheit ist erneut in Aufruhr über eine Nachricht, die einmal mehr zeigt, wie kreativ und dreist Angreifer sein können. Die als DragonForce bekannte Ransomware-Gruppe hat bei ihren jüngsten Angriffen eine unkonventionelle Methode angewandt und die Serverinfrastruktur von Microsoft Teams missbraucht. Diese Entwicklung zeigt, dass Cyberkriminelle nicht mehr nur Systeme infiltrieren, sondern auch die digitalen Kommunikationswerkzeuge, denen wir am meisten vertrauen, in Waffen verwandeln. Der Vorfall wurde am 17. Juni 2026 durch Berichte von Cybersicherheitsfirmen öffentlich bekannt.

Im Wesentlichen ist Folgendes passiert: Die Angreifer nutzten die Infrastruktur, die Millionen von Menschen normalerweise für Videokonferenzen und Messaging verwenden, als Tarnung, um ihre Befehle innerhalb eines kompromittierten Netzwerks zu verbergen und weiterzuleiten. Dies ist ein Albtraumszenario für Sicherheitssoftware. Unter normalen Umständen würde eine Firewall oder ein Antivirenprogramm den Datenverkehr zu den eigenen Servern von Microsoft als „sicher“ und „legitim“ einstufen. Genau dieses Vertrauen nutzen die Angreifer aus. In der Cybersicherheitssprache wird diese Methode als „Living Off the Land“ (LOTL) bezeichnet. Kriminelle verwenden legitime Werkzeuge und Dienste, die bereits auf dem Zielsystem vorhanden sind, um sich zu verstecken. Dadurch hinterlassen sie weniger Spuren und sind viel schwerer zu entdecken.

Welche Daten wurden kompromittiert

Bisher gibt es keine klaren Informationen darüber, welche spezifischen Daten bei diesem Angriff gestohlen oder verschlüsselt wurden. Die Identität der betroffenen Organisation wird vorerst ebenfalls geheim gehalten. Betrachtet man jedoch den allgemeinen Modus Operandi von Ransomware-Gruppen wie DragonForce, so wissen wir, dass das Ziel in der Regel wertvolle Informationen sind. Bei solchen Angriffen verschlüsseln die Kriminellen zunächst kritische Dateien, um den Betrieb des Unternehmens lahmzulegen. Um den Druck zur Zahlung des Lösegelds zu erhöhen, drohen sie dann damit, die sensiblen Daten zu veröffentlichen, die sie vor der Verschlüsselung gestohlen haben. Zu diesen Daten gehören oft:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Kundeninformationen (Namen, Adressen, Kontaktdaten)
  • Persönliche Daten von Mitarbeitern
  • Finanzberichte, Bilanzen und Bankkontodaten
  • Geistiges Eigentum, Geschäftsgeheimnisse und Produktdesigns
  • Strategische Dokumente wie Protokolle von Vorstandssitzungen

Das Schicksal der Daten hängt in der Regel davon ab, ob das Opferunternehmen das Lösegeld zahlt, und von der Gnade der Angreifer. Oft gibt es selbst bei Zahlung des Lösegelds keine Garantie dafür, dass die Daten zurückgegeben oder nicht doch veröffentlicht werden.

Wie geschah der Angriff

Die technischen Details des Angriffs sind noch nicht vollständig geklärt, insbesondere ist unklar, wie die Angreifer ursprünglich in das Netzwerk eingedrungen sind. Der auffälligste Teil ist jedoch, was sie nach der Infiltration taten. Berichten zufolge nutzte DragonForce die Relay-Server von Microsoft Teams als Command-and-Control-Zentrum (C2 oder C&C).

Was bedeutet das? Eine Malware, die in ein Netzwerk eindringt, muss mit dem Angreifer außerhalb kommunizieren. Über diesen Kommunikationskanal sendet der Angreifer Befehle an die Malware, wie z.B. „verschlüssele diese Dateien“, „exfiltriere diese Daten“ oder „verbreite dich auf andere Rechner im Netzwerk“. Die Server, die diese Kommunikation ermöglichen, werden als Command-and-Control-Server bezeichnet. Normalerweise erkennen und blockieren Cybersicherheitssysteme den Datenverkehr zu bekannten bösartigen C2-Servern sofort.

Aber was DragonForce tat, ist sowohl genial als auch beunruhigend. Anstatt ihre eigenen C2-Server einzurichten, leiteten sie ihren Datenverkehr über die legitimen Server von Microsoft Teams. Als die Sicherheitssysteme den ausgehenden Datenverkehr überprüften, sahen sie wahrscheinlich ein vertrauenswürdiges Ziel wie „teams.microsoft.com“ und schlugen keinen Alarm. Dies ermöglichte es den Angreifern, nach Belieben Befehle zu senden und Daten durch einen verschlüsselten und legitim aussehenden Tunnel zu stehlen. Diese Taktik zeigt schmerzlich, wie leicht traditionelle Netzwerksicherheitskontrollen umgangen werden können.

Wer war betroffen

Derzeit wurde die Identität der von dem Angriff betroffenen Organisation nicht öffentlich gemacht. Solche fortgeschrittenen Angriffstechniken können jedoch entweder gezielt oder opportunistisch gegen jede Organisation eingesetzt werden, die als schwaches Glied angesehen wird. Für finanziell motivierte Gruppen wie DragonForce gibt es kaum einen Unterschied zwischen den Sektoren. Jede Organisation, die über wertvolle Daten verfügt und bei einer Betriebsunterbrechung erhebliche Verluste erleiden würde, ist ein potenzielles Ziel, sei es im Finanz-, Gesundheits-, Bildungs-, Fertigungs- oder öffentlichen Sektor.

Die wichtigste Erkenntnis aus diesem Vorfall ist, dass jedes Unternehmen, das weit verbreitete Plattformen wie Microsoft Teams nutzt, potenziell gefährdet ist. Angreifer zielen nicht mehr nur auf Ihre Infrastruktur ab, sondern infiltrieren auch die Infrastruktur von vertrauenswürdigen Drittanbieterdiensten, um an Sie heranzukommen. Unabhängig von Ihrer Branche ist es daher am klügsten, davon auszugehen, dass Sie Opfer ähnlicher Angriffe werden könnten. Verfolgt man die aktuellen Datenleck Nachrichten, zeigt sich ein wachsender Trend bei solchen Supply-Chain- oder Drittanbieter-Exploits.

Was können Sie tun

Der Schutz vor solch raffinierten Angriffen erfordert weit mehr als nur die Installation einer Antivirensoftware. Hier sind einige entscheidende Maßnahmen, die Organisationen und Einzelpersonen ergreifen können:

  • Tiefgreifende Analyse des Netzwerkverkehrs: Anstatt den Verkehr nur aufgrund seines Ziels zuzulassen, analysieren Sie die Art des Verkehrs. Ist der Verkehr zu Microsoft-Servern normal? Sendet der Rechner eines Benutzers mitten in der Nacht Gigabytes an Daten an Teams-Server? Der Einsatz fortschrittlicher Netzwerküberwachungstools, die solche Anomalien erkennen können, ist von entscheidender Bedeutung.
  • Einführung eines Zero-Trust-Modells: Das alte Mantra „vertraue allem im Inneren, misstraue allem von außen“ ist nicht mehr gültig. Das Zero-Trust-Modell erfordert, dass jede Zugriffsanfrage, ob von innerhalb oder außerhalb des Netzwerks, authentifiziert und autorisiert wird. Kein Benutzer oder Gerät wird standardmäßig als vertrauenswürdig eingestuft.
  • Endpoint Detection and Response (EDR/XDR)-Lösungen: Selbst wenn Angreifer das Netzwerk umgehen, ist der Ort, an dem sie ihre Aktionen ausführen, die Computer der Mitarbeiter (Endpunkte). EDR- und XDR-Lösungen können verdächtiges Verhalten auf diesen Geräten erkennen (z.B. wenn ein Word-Dokument plötzlich versucht, auf andere Dateien im Netzwerk zuzugreifen) und den Angriff stoppen, bevor er beginnt.
  • Proaktives Threat Hunting: Warten Sie nicht, bis die Alarme losgehen. Ihre Sicherheitsteams sollten aktiv in Ihrem Netzwerk und Ihren Systemen nach Spuren von Angreifern suchen. Dies bedeutet, Anomalien wie ungewöhnliche Netzwerkverbindungen, verdächtige Prozesse oder unerwartete Konfigurationsänderungen manuell zu untersuchen.
  • Haben Sie einen Incident-Response-Plan: Trotz der besten Verteidigungsmaßnahmen kann ein Angriff dennoch stattfinden. Stellen Sie sicher, dass Sie einen klaren Plan haben, der festlegt, was zu tun ist, wer zu kontaktieren ist, wie Systeme isoliert werden und wie der Betrieb in einem solchen Fall fortgesetzt wird.

Was sagt das Unternehmen

Zum Zeitpunkt der Erstellung dieses Berichts am 17. Juni 2026 gab es von Microsoft keine offizielle Stellungnahme oder Erklärung zum Missbrauch seiner Teams-Infrastruktur bei diesem spezifischen Angriff. In der Regel setzt Microsoft in solchen Situationen seine eigenen Sicherheitsteams ein, um den Vorfall zu untersuchen und ähnliche Vorfälle in Zukunft zu verhindern. Auch von dem ungenannten Unternehmen, das angegriffen wurde, gab es noch keine Pressemitteilung. In den kommenden Tagen werden detailliertere Informationen von beiden Seiten erwartet.

Quelle

https://www.securityweek.com/microsoft-teams-relay-servers-abused-in-dragonforce-ransomware-attack/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Kodak bestätigt Datenleck nach Anspruch von ShinyHunters Nächster Beitrag → EdTech-Sektor in Cyberkrise Datenlecks nehmen stark zu

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.