Auf den Punkt: Microsoft störte eine Malware-Signaturservice-Operation, die über tausend gefälschte Zertifikate erstellte und verschiedene Ransomware-Gangs belieferte. Die Domain signspace[.]cloud wurde beschlagnahmt und die kriminelle Infrastruktur zerschlagen. Es wurde auch Klage eingereicht.
Microsoft hat eine cyberkriminelle Operation unterbunden, die den Artifact-Signing-Service des Unternehmens missbrauchte, um über tausend gefälschte Code-Signaturzertifikate zu erstellen. Diese Zertifikate wurden von Ransomware-Banden und anderen Cyberkriminellen verwendet, um Malware als legitime Software zu tarnen.
Die Bedrohungsgruppe “Fox Tempest” nutzte Microsofts Azure Artifact Signing, einen 2024 gestarteten Cloud-Service für Softwarebeglaubigung, um kurzfristige Zertifikate zu generieren. Mit mehr als tausend erstellten Zertifikaten und hunderten kompromittierten Azure-Konten betrieb Fox Tempest einen Malware-Signing-as-a-Service (MSaaS) über die Domain signspace[.]cloud.
Die kriminelle Infrastruktur wurde im Mai 2026 durch Microsofts Digital Crimes Unit in Zusammenarbeit mit Partnern zerschlagen. Microsoft sperrte tausend Zertifikate, beschlagnahmte die signspace[.]cloud-Domain, nahm hunderte virtuelle Maschinen offline und blockierte den Zugang zur kriminellen Plattform.
Die Malware-Signaturservice wurde von verschiedenen Ransomware-Operationen wie Rhysida, Akira, Qilin und BlackByte sowie Stealer-Malware wie Oyster und Lumma genutzt. Die kriminellen Akteure tarnten die signierten Malware-Dateien als legitime Software wie Microsoft Teams, AnyDesk, PuTTY und Webex. Opfer, die vermeintliche Teams-Installer ausführten, erlitten Befall mit Oyster-Malware und Rhysida-Ransomware. Da die Malware Microsoft-Zertifikate besaß, wurden sie vom Windows-Betriebssystem zunächst als vertrauenswürdig eingestuft.
Microsoft reichte gegen Fox Tempest und die Vanilla Tempest-Ransomware-Operation Klage beim U.S. District Court für den südlichen Bezirk von New York ein.