SharePoint-Ransomware-Angriffe haben eine neue Herausforderung für Incident-Response-Teams offengelegt, nachdem Microsoft zwei voneinander unabhängige Bedrohungsgruppen entdeckte, die gleichzeitig in derselben kompromittierten Umgebung aktiv waren. Die Untersuchung zeigt, dass moderne Cyberangriffe sich überschneiden können, anstatt als einzelne Vorfälle aufzutreten. Dadurch werden Erkennung und Eindämmung deutlich schwieriger. Microsoft fordert Unternehmen deshalb auf, Patch-Management, Identitätsschutz und kontinuierliche Überwachung zu stärken, um das Risiko ähnlicher Angriffe zu verringern.
Microsoft entdeckte parallele Angriffe
Microsofts Detection and Response Team (DART) untersuchte einen Ransomware-Vorfall, der verwundbare lokale SharePoint-Server betraf.
Während der Untersuchung fanden die Experten Hinweise darauf, dass sich die Angreifer von der ursprünglichen Organisation aus in eine zweite Organisation ausgebreitet hatten.
Nachdem Microsoft das zweite Unternehmen informiert hatte, bestätigte sich, dass auch dieses von der Ransomware-Gruppe Storm-2603 kompromittiert worden war.
Bei der weiteren Analyse machte Microsoft Threat Intelligence eine zusätzliche Entdeckung. Eine zweite, unabhängige Bedrohungsgruppe war zur gleichen Zeit in derselben Umgebung aktiv.
Die Forscher erklärten, dass beide Kampagnen parallel und nicht nacheinander verliefen. Ohne die Kombination von Telemetriedaten aus Identitäten, Endpunkten und Cloud-Diensten hätten Sicherheitsteams die Aktivitäten möglicherweise als einen einzigen Angriff eingestuft und den größeren Sicherheitsvorfall übersehen.
SharePoint-Schwachstellen öffneten die Tür
Nach Angaben von Microsoft greift Storm-2603 seit Mitte 2025 lokale SharePoint-Server an, indem öffentlich bekannte Schwachstellen ausgenutzt werden.
Über das Internet erreichbare SharePoint-Installationen sind attraktive Ziele, da sie häufig wertvolle Unternehmensdaten enthalten und Angreifern einen Einstieg in größere Unternehmensnetzwerke ermöglichen.
Microsoft betont daher, dass Unternehmen bekannte Schwachstellen, insbesondere auf öffentlich erreichbaren Systemen, so schnell wie möglich schließen sollten.
Zweite Bedrohungsgruppe setzte andere Methoden ein
Während sich Storm-2603 auf Ransomware konzentrierte, nutzte die zweite Angreifergruppe andere Techniken, um langfristigen Zugriff aufrechtzuerhalten.
Die Ermittler fanden Hinweise auf DLL-Sideloading, eine Methode, bei der Schadcode über vertrauenswürdige Software ausgeführt wird. Angreifer nutzen diese Technik häufig, um weitere Schadsoftware nachzuladen, Hintertüren zu installieren oder sich dauerhaft in kompromittierten Umgebungen zu verstecken.
Die gleichzeitige Anwesenheit zweier unabhängiger Bedrohungsgruppen zeigt, dass Cyberkriminelle dieselbe verwundbare Organisation parallel angreifen können, ohne ihre Aktivitäten miteinander abzustimmen.
Microsoft machte keine Angaben zu den finanziellen Schäden des Vorfalls. Das Unternehmen betonte jedoch, dass sich Incident Response und Wiederherstellung durch überlappende Angriffe erheblich komplizieren.
Microsoft empfiehlt stärkere Sicherheitsmaßnahmen
Die Untersuchung bekräftigt Microsofts Empfehlung, auf ein mehrschichtiges Sicherheitskonzept zu setzen, anstatt sich auf einzelne Schutzmaßnahmen zu verlassen.
Das Unternehmen rät dazu, öffentlich erreichbare Systeme schnell zu patchen und bekannte Schwachstellen unverzüglich zu beheben.
Darüber hinaus empfiehlt Microsoft, privilegierte Konten besonders zu schützen, Endpunktschutz bereits vor einem Sicherheitsvorfall bereitzustellen und eine kontinuierliche Überwachung einzusetzen, anstatt erst während eines laufenden Angriffs zusätzliche Sicherheitswerkzeuge zu aktivieren.
Durch die Zusammenführung von Telemetriedaten aus Endpunkten, Identitäten, Cloud-Diensten und lokaler Infrastruktur können Sicherheitsteams komplexe Angriffsmuster erkennen, die isolierte Sicherheitslösungen möglicherweise übersehen.
Parallele Angriffskampagnen nehmen zu
Microsoft sieht in diesem Fall einen wichtigen Wandel der aktuellen Bedrohungslage. Unternehmen können nicht länger davon ausgehen, dass hinter einem Sicherheitsvorfall nur ein einzelner Angreifer steckt.
Da mehrere Bedrohungsakteure zunehmend dieselben Schwachstellen ausnutzen, müssen Sicherheitsteams verdächtige Aktivitäten umfassender untersuchen.
Parallele Angriffe können unterschiedliche Ziele, verschiedene Angriffstechniken und eigene Mechanismen zur dauerhaften Zugriffssicherung umfassen. Deshalb sind häufig getrennte Maßnahmen erforderlich, um sämtliche Angreifer vollständig zu entfernen.
Das vollständige Ausmaß eines Sicherheitsvorfalls zu verstehen, ist heute ebenso wichtig wie das Stoppen des ersten Angriffs.
Fazit
Die Microsoft-Untersuchung zu den SharePoint-Ransomware-Angriffen zeigt, wie komplex moderne Cyberangriffe geworden sind. Die Entdeckung zweier unabhängiger Bedrohungsgruppen, die gleichzeitig aktiv waren, unterstreicht die Bedeutung einer umfassenden Transparenz über Identitäten, Endpunkte, Cloud-Dienste und lokale Infrastruktur.
Unternehmen, die Sicherheitsupdates schnell installieren, ihren Identitätsschutz stärken und ihre Systeme kontinuierlich überwachen, sind deutlich besser darauf vorbereitet, parallele Angriffskampagnen zu erkennen, bevor Angreifer einen dauerhaften Zugriff auf ihre Netzwerke etablieren können.


0 Kommentare zu „SharePoint-Ransomware-Angriffe decken parallele Bedrohungskampagnen auf“