Microsoft, Erpressertruppe

Microsoft 365: Erpressertruppe nutzt Passkey-Manipulation für Zugriff

Veröffentlicht: 10.07.2026 um 14:36 Uhr, Redaktion boerse-global.de

Die Gruppe O-UNC-066 erpresst Firmen nach Datenklau via manipulierter Passkey-Registrierung in Microsoft-365-Umgebungen.

Erpresser nutzen Passkeys: Neue MFA-Umgehung bei Microsoft 365
Verschwommene Gestalt in Kapuzenjacke tippt auf Laptop, grünes Vorhängeschloss-Symbol über Netzwerkdiagramm. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Täter nutzen eine ausgeklügelte Kombination aus Sprachanrufen und Passkey-Manipulation, um dauerhaften Zugriff auf Firmenkonten zu erlangen.

Seit April 2026 beobachten Sicherheitsforscher die als Pink oder O-UNC-066 bezeichnete Gruppe. Betroffen sind Unternehmen aus der Luftfahrt, Automobilbranche, Bauwirtschaft, Gesundheitswesen, Technologie und Lebensmittelindustrie.

So funktioniert der mehrstufige Angriff

Die Attacke beginnt mit einem harmlos wirkenden Anruf. Der Täter gibt sich als Mitarbeiter der internen IT-Abteilung aus und fordert das Opfer auf, eine gefälschte Microsoft-Entra-ID-Loginseite aufzurufen.

Im Hintergrund läuft ein PHP-basiertes Steuerungspanel, das den Angreifern erlaubt, den Login-Versuch in Echtzeit zu verfolgen. Das Panel passt sich flexibel an verschiedene MFA-Methoden an – egal ob SMS-Codes, Push-Benachrichtigungen oder zeitbasierte Einmalpasswörter (TOTP).

Der entscheidende Kniff: Während das Opfer seine Zugangsdaten eingibt und die MFA-Abfrage bestätigt, registriert der Angreifer zeitgleich seinen eigenen Passkey im Konto des Opfers. Als Ablenkung zeigt die Phishing-Seite einen fingierten Wiederherstellungsschlüssel an. Microsoft verschickt zwar eine legitime E-Mail-Benachrichtigung über die neue Passkey-Registrierung – doch die Angreifer haben meist schon dauerhaften Zugriff, bevor der Nutzer eingreifen kann.

Anzeige

Der beschriebene Missbrauch von Passkeys zeigt, wie wichtig ein fundiertes Verständnis dieser neuen Technologie ist, um die eigene Infrastruktur wirksam abzusichern. Ein kostenloser Report erklärt die Funktionsweise und wie Sie die Methode bei Diensten wie Microsoft rechtssicher einrichten. Was steckt hinter Passkeys – jetzt kostenlos nachlesen

Erpressung mit 72-Stunden-Uhr

Sobald die Täter über den neu registrierten Passkey verfügen, plündern sie sensible Daten aus SharePoint und OneDrive. Die Erpressung erfolgt per E-Mail oder über Microsoft-Teams-Nachrichten.

Die Gruppe setzt den betroffenen Unternehmen ein 72-Stunden-Ultimatum. Reagiert das Unternehmen nicht innerhalb dieser Frist, drohen die Erpresser mit der Veröffentlichung der gestohlenen Daten auf einer eigenen Leak-Seite. Diese Seite ist seit dem 31. Mai 2026 aktiv.

Wer steckt dahinter?

Sicherheitsanalysten bringen O-UNC-066 mit einem größeren Ökosystem von Bedrohungsakteuren in Verbindung, das häufig als „The Com“ bezeichnet wird. Die technische Infrastruktur der Gruppe stützt sich offenbar auf Dienstleister wie DDoS-Guard und IQWeb, um ihre Phishing-Kits und Leak-Seiten am Laufen zu halten.

Anzeige

Angriffe wie die der Gruppe O-UNC-066 verdeutlichen, dass Unternehmen ihre IT-Sicherheit kontinuierlich an neue Bedrohungslagen und gesetzliche Anforderungen anpassen müssen. Dieser Gratis-Report zeigt, wie Sie Sicherheitslücken schließen und Ihr Unternehmen proaktiv vor modernen Cyberattacken schützen. IT-Sicherheit stärken ohne teure Investitionen

Schutzmaßnahmen für Unternehmen

Experten empfehlen, die Registrierung neuer Passkeys über Conditional-Access-Richtlinien einzuschränken. Zudem sollten Unternehmen die Überwachung neuer Passkey-Registrierungen in ihrer Microsoft-Entra-Umgebung verschärfen.

Der wichtigste Schutzfaktor bleibt jedoch die Sensibilisierung der Mitarbeiter: Die gesamte technische Umgehung der MFA in dieser Kampagne beruht auf dem anfänglichen Social-Engineering der Angestellten. Wer unangekündigte Anrufe von der „IT-Abteilung“ erhält, sollte skeptisch sein und den Vorfall sofort dem internen Sicherheitsteam melden.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69737656 |