Cloud-Erpressung, Bande

Cloud-Erpressung: Neue Bande Pink nutzt Voice-Phishing gegen Microsoft 365

06.06.2026 - 22:54:26 | boerse-global.de

Cyberbanden nutzen Vishing und Fernwartungstools, um Microsoft-365-Daten zu stehlen. Sicherheitsforscher warnen vor neuen Methoden.

Cloud-Erpressung: Neue Telefon-Tricks umgehen 2FA-Schutz
Cloud-Erpressung - A person in a hoodie typing on a laptop, surrounded by digital data streams, symbolizing cloud data security threats. 06.06.2026 - Bild: ĂŒber boerse-global.de

Cyberkriminelle setzen zunehmend auf Telefon-Tricks und legitime Tools, um Cloud-Daten zu stehlen.

Sicherheitsforscher schlagen Alarm: Eine neue Generation von Erpressungsbanden hat es gezielt auf Microsoft-365-Umgebungen abgesehen. Die Angreifer kombinieren Voice-Phishing (Vishing) mit Fernwartungstools und umgehen so klassische Schutzmechanismen wie die Zwei-Faktor-Authentifizierung. Besonders betroffen sind Daten in SharePoint und OneDrive.

Anzeige

Moderne Cyberangriffe nutzen oft psychologische Tricks, um Sicherheitsbarrieren zu umgehen und sensible Unternehmensdaten abzugreifen. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Phishing-Attacken und CEO-Fraud effektiv unterbinden. Kostenloses Anti-Phishing-Paket fĂŒr Unternehmen anfordern

Die neue Gruppe „Pink" im Visier der Ermittler

Palo Alto Networks Unit 42 hat einen neuen Akteur identifiziert, der unter dem Codenamen „Pink" (CL-CRI-1147) gefĂŒhrt wird. Die Gruppe betreibt seit Ende Mai 2026 eine eigene Website zur Veröffentlichung gestohlener Daten. Ihre SpezialitĂ€t: das AusspĂ€hen von Cloud-Umgebungen.

Die TĂ€ter setzen auf eine besonders hinterhĂ€ltige Methode. Sie rufen ihre Opfer an und geben sich als IT-Mitarbeiter aus. So erschleichen sie sich Zugang zu den Systemen – und umgehen die sonst so wirksame Mehrfaktor-Authentifizierung. Einmal im System, arbeiten sie dateilos: Der Schadcode versteckt sich im Arbeitsspeicher und bleibt fĂŒr herkömmliche Virenscanner unsichtbar. Die Opfer bekommen dann 72 Stunden Zeit, um Lösegeld zu zahlen. Danach droht die Veröffentlichung der Daten.

UNC3753: Wenn der Angriff durch die TĂŒr kommt

Noch einen Schritt weiter geht die Gruppe UNC3753, die auch unter den Namen Luna Moth, Chatty Spider oder Silent Ransom Group bekannt ist. Mandiant und Googles Threat Intelligence Group haben ihre AktivitĂ€ten genau dokumentiert. Seit MĂ€rz 2022 aktiv, hat die Gruppe zwischen Januar und Mai 2026 eine massive Kampagne gegen Dutzende Organisationen gefahren – darunter US-Kanzleien und Finanzdienstleister.

Das Vorgehen ist mehrstufig. Scheitert der erste Versuch per Telefon oder E-Mail, greifen die TĂ€ter zu drastischeren Mitteln. In dokumentierten FĂ€llen verschafften sie sich als angebliche IT-Techniker Zutritt zu FirmengebĂ€uden – und stahlen Daten per USB-Stick.

Anzeige

Da Cyberkriminelle immer aggressiver vorgehen und neue Gesetze die Haftung fĂŒr Unternehmen verschĂ€rfen, ist proaktiver Schutz wichtiger denn je. Erfahren Sie in diesem Gratis-Report, wie Sie SicherheitslĂŒcken ohne hohe Investitionen schließen und Ihre Firma langfristig absichern. Gratis-E-Book: Cyber Security Trends jetzt herunterladen

FĂŒr den Fernzugriff nutzt die Gruppe legitime Werkzeuge wie AnyDesk, Bomgar, Zoho Assist oder SuperOps. Der Datendiebstahl selbst erfolgt atemberaubend schnell: Oft sind die Daten innerhalb einer Stunde abgeflossen. In einem Fall wurden 1,7 Gigabyte ĂŒber Google Drive und 14,4 Gigabyte per WinSCP abtransportiert. Auch hier folgt eine Erpressungsmail mit dreitĂ€gigem Ultimatum.

Vertraute Werkzeuge als Einfallstor

Der Missbrauch legitimer Dienste ist kein Einzelfall. Bereits im April 2026 nutzte die Nimubus-RAT-Kampagne Microsoft-Teams-Anrufe, um Angriffe zu starten. Die TÀter gaben sich als IT-Support aus und baten die Opfer, die Quick-Assist-Funktion zu aktivieren. Das ermöglichte die Installation eines Java-basierten Trojaners, der Google Drive und Google Sheets zur Steuerung nutzte.

Die Zahlen sprechen eine deutliche Sprache: Im ersten Quartal 2026 stieg die Nutzung sogenannter „Living off the Land"-Techniken massiv an. Moderne Angriffe schaffen es, innerhalb von 21 Sekunden nach dem ersten Zugriff eine dauerhafte Verbindung aufzubauen.

SicherheitslĂŒcken und Patches im Juni 2026

Die Welle von Vishing- und Cloud-Erpressungen fĂ€llt mit mehreren kritischen Sicherheitsupdates zusammen. Google hat im Juni einen Android-Zero-Day geschlossen (CVE-2025-48595), der bereits aktiv ausgenutzt wurde. Die US-Sicherheitsbehörde CISA hat zwei weitere Schwachstellen in ihren Katalog bekannter Exploits aufgenommen: einen Fehler in ConnectWise ScreenConnect (CVE-2024-1708) und eine Windows-Shell-LĂŒcke (CVE-2026-32202), die angeblich von der russischen Gruppe APT28 ausgenutzt wird.

Und auch Microsoft musste Ende Mai eine Kehrtwende machen: Der Konzern ruderte bei der Behauptung zurĂŒck, Windows Defender sei als alleiniger Virenschutz ausreichend. UnabhĂ€ngige Tests im MĂ€rz hatten gezeigt, dass die Offline-Erkennungsrate des Tools hinter der Konkurrenz zurĂŒckbleibt. Microsoft verweist nun auf eine differenziertere Sicherheitsstrategie.

So schÀtzen die Börsenprofis Aktien ein!

<b>So schÀtzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlĂ€ssliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
FĂŒr. Immer. Kostenlos.
de | wissenschaft | 69494298 |