Registrieren Sie sich jetzt, um sich das On-Demand-Webinar anzusehen, in dem Informationen aus dem Microsoft-Bericht über digitale Abwehr 2024 vorgestellt werden.
Security Insider
Threat Intelligence und verwertbare Informationen, um an der Spitze zu bleiben
Microsoft-Bericht über digitale Abwehr
Microsoft-Bericht über digitale Abwehr 2024
In der Ausgabe für 2024 des Microsoft-Berichts über digitale Abwehr werden die sich ausweitenden Cyberbedrohungen beleuchtet, die von staatlich assoziierten Gruppen und cyberkriminellen Akteuren ausgehen, neue Erkenntnisse und Anleitung für größere Widerstandsfähigkeit und stärkere Verteidigung geboten sowie der zunehmende Einfluss von generativer KI in der Cybersicherheit untersucht.
Aktuelle Neuigkeiten
Staatlich assoziiert
Russland-assoziierte Akteure versuchen in großem Stil, US-Wähler zu beeinflussen.
Staatlich assoziiert
Iran schaltet sich in die US-Wahl 2024 mit cybergestützten Desinformationskampagnen ein.
Cyberverbrechen
Entschlossenes Vorgehen gegen Betrug: Wie Storm-1152 das Handwerk gelegt wurde
Erkenntnisse zum Bedrohungsakteur
Microsoft Threat verfolgt aktiv Bedrohungsakteure im Hinblick auf ihre Aktivitäten innerhalb beobachteter Nationalstaaten, im Bereich Ransomware und dem kriminellen Milieu. Die angeführten Erkenntnisse stellen die öffentlich zugänglichen Threat Intelligence-Forschungsbemühungen von Microsoft dar und fungieren als zentrales Verzeichnis für detaillierte Akteurprofile in den dazugehörigen Blogs.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) ist eine mit dem Iran in Verbindung stehende Aktivitätsgruppe und seit mindestens 2013 aktiv.
Manatee Tempest
Manatee Tempest (ehemals DEV-0243) ist ein Bedrohungsakteur, der zur Ransomware-as-a-Service-Ökonomie (RaaS) gehört und sich mit anderen Bedrohungsakteuren zusammenschließt, um maßgeschneiderte Cobalt Strike-Loader bereitzustellen.
Wine Tempest
Wine Tempest (ehemals PARINACOTA) verwendet für seine Angriffe üblicherweise menschlich gesteuerte Ransomware, meist die Ransomware Wadhrama. Die Hackergruppe ist erfinderisch, ändert ihre Taktiken nach Bedarf und nutzt kompromittierte Computer für verschiedene Zwecke wie z. B. Cryptomining, den Versand von Spam oder als Proxy für weitere Angriffe.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Storm-0530
Eine aus Nordkorea stammende Gruppe von Akteuren, die von Microsoft als Storm-0530 (früher DEV-0530) bezeichnet wird, entwickelt und benutzt seit Juni 2021 Ransomware für Angriffe.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Hazel Sandstorm
Hazel Sandstorm (ehemals EUROPIUM) wurde öffentlich mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht. Microsoft hat mit hoher Wahrscheinlichkeit festgestellt, dass am 15. Juli 2022 von der iranischen Regierung gesponserte Akteure einen zerstörerischen Cyberangriff auf die albanische Regierung durchgeführt haben, der die Websites der Regierung und öffentliche Dienste gestört hat.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als eine vom russischen GRU-geförderte Bedrohungsgruppe, die Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Pistachio Tempest
Pistachio Tempest (ehemals DEV-0237) ist eine Gruppe, die starke Ransomware verbreitet. Microsoft hat beobachtet, dass Pistachio Tempest im Laufe der Zeit verschiedene Ransomware-Nutzdaten verwendet, da die Gruppe mit neuen Ransomware-as-a-Service-Angeboten (RaaS) experimentiert, von Ryuk und Conti über Hive und Nokoyawa bis hin zu Agenda und Mindware.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Diamond Sleet
Der Bedrohungsakteur, den Microsoft unter dem Namen Diamond Sleet beobachtet, ist eine aus Nordkorea agierende Aktivitätsgruppe, die es weltweit auf die Medien-, Verteidigungs- und IT-Branche abgesehen hat. Der Fokus von Diamond Sleet liegt auf Spionage, dem Diebstahl von persönlichen und Unternehmensdaten, finanziellem Gewinn und der Zerstörung von Unternehmensnetzwerken.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) ist eine mit dem Iran in Verbindung stehende Aktivitätsgruppe und seit mindestens 2013 aktiv.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als eine vom russischen GRU-geförderte Bedrohungsgruppe, die Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) ist eine mit dem Iran in Verbindung stehende Aktivitätsgruppe und seit mindestens 2013 aktiv.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Hazel Sandstorm
Hazel Sandstorm (ehemals EUROPIUM) wurde öffentlich mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht. Microsoft hat mit hoher Wahrscheinlichkeit festgestellt, dass am 15. Juli 2022 von der iranischen Regierung gesponserte Akteure einen zerstörerischen Cyberangriff auf die albanische Regierung durchgeführt haben, der die Websites der Regierung und öffentliche Dienste gestört hat.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als eine vom russischen GRU-geförderte Bedrohungsgruppe, die Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Pistachio Tempest
Pistachio Tempest (ehemals DEV-0237) ist eine Gruppe, die starke Ransomware verbreitet. Microsoft hat beobachtet, dass Pistachio Tempest im Laufe der Zeit verschiedene Ransomware-Nutzdaten verwendet, da die Gruppe mit neuen Ransomware-as-a-Service-Angeboten (RaaS) experimentiert, von Ryuk und Conti über Hive und Nokoyawa bis hin zu Agenda und Mindware.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Manatee Tempest
Manatee Tempest (ehemals DEV-0243) ist ein Bedrohungsakteur, der zur Ransomware-as-a-Service-Ökonomie (RaaS) gehört und sich mit anderen Bedrohungsakteuren zusammenschließt, um maßgeschneiderte Cobalt Strike-Loader bereitzustellen.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Storm-0530
Eine aus Nordkorea stammende Gruppe von Akteuren, die von Microsoft als Storm-0530 (früher DEV-0530) bezeichnet wird, entwickelt und benutzt seit Juni 2021 Ransomware für Angriffe.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) ist eine mit dem Iran in Verbindung stehende Aktivitätsgruppe und seit mindestens 2013 aktiv.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Diamond Sleet
Der Bedrohungsakteur, den Microsoft unter dem Namen Diamond Sleet beobachtet, ist eine aus Nordkorea agierende Aktivitätsgruppe, die es weltweit auf die Medien-, Verteidigungs- und IT-Branche abgesehen hat. Der Fokus von Diamond Sleet liegt auf Spionage, dem Diebstahl von persönlichen und Unternehmensdaten, finanziellem Gewinn und der Zerstörung von Unternehmensnetzwerken.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als eine vom russischen GRU-geförderte Bedrohungsgruppe, die Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Diamond Sleet
Der Bedrohungsakteur, den Microsoft unter dem Namen Diamond Sleet beobachtet, ist eine aus Nordkorea agierende Aktivitätsgruppe, die es weltweit auf die Medien-, Verteidigungs- und IT-Branche abgesehen hat. Der Fokus von Diamond Sleet liegt auf Spionage, dem Diebstahl von persönlichen und Unternehmensdaten, finanziellem Gewinn und der Zerstörung von Unternehmensnetzwerken.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Diamond Sleet
Der Bedrohungsakteur, den Microsoft unter dem Namen Diamond Sleet beobachtet, ist eine aus Nordkorea agierende Aktivitätsgruppe, die es weltweit auf die Medien-, Verteidigungs- und IT-Branche abgesehen hat. Der Fokus von Diamond Sleet liegt auf Spionage, dem Diebstahl von persönlichen und Unternehmensdaten, finanziellem Gewinn und der Zerstörung von Unternehmensnetzwerken.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Hazel Sandstorm
Hazel Sandstorm (ehemals EUROPIUM) wurde öffentlich mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht. Microsoft hat mit hoher Wahrscheinlichkeit festgestellt, dass am 15. Juli 2022 von der iranischen Regierung gesponserte Akteure einen zerstörerischen Cyberangriff auf die albanische Regierung durchgeführt haben, der die Websites der Regierung und öffentliche Dienste gestört hat.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als eine vom russischen GRU-geförderte Bedrohungsgruppe, die Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Diamond Sleet
Der Bedrohungsakteur, den Microsoft unter dem Namen Diamond Sleet beobachtet, ist eine aus Nordkorea agierende Aktivitätsgruppe, die es weltweit auf die Medien-, Verteidigungs- und IT-Branche abgesehen hat. Der Fokus von Diamond Sleet liegt auf Spionage, dem Diebstahl von persönlichen und Unternehmensdaten, finanziellem Gewinn und der Zerstörung von Unternehmensnetzwerken.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Manatee Tempest
Manatee Tempest (ehemals DEV-0243) ist ein Bedrohungsakteur, der zur Ransomware-as-a-Service-Ökonomie (RaaS) gehört und sich mit anderen Bedrohungsakteuren zusammenschließt, um maßgeschneiderte Cobalt Strike-Loader bereitzustellen.
Wine Tempest
Wine Tempest (ehemals PARINACOTA) verwendet für seine Angriffe üblicherweise menschlich gesteuerte Ransomware, meist die Ransomware Wadhrama. Die Hackergruppe ist erfinderisch, ändert ihre Taktiken nach Bedarf und nutzt kompromittierte Computer für verschiedene Zwecke wie z. B. Cryptomining, den Versand von Spam oder als Proxy für weitere Angriffe.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Pistachio Tempest
Pistachio Tempest (ehemals DEV-0237) ist eine Gruppe, die starke Ransomware verbreitet. Microsoft hat beobachtet, dass Pistachio Tempest im Laufe der Zeit verschiedene Ransomware-Nutzdaten verwendet, da die Gruppe mit neuen Ransomware-as-a-Service-Angeboten (RaaS) experimentiert, von Ryuk und Conti über Hive und Nokoyawa bis hin zu Agenda und Mindware.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Silk Typhoon
Im Jahr 2021 ist Silk Typhoon (ehemals HAFNIUM) eine nationalstaatliche Aktivitätsgruppe mit Sitz in China.
Nach Thema suchen
KI
Sicherheit ist nur so gut wie Ihre Threat Intelligence
Betrügerische Business-E-Mails
Betrügerische Business-E-Mails im Überblick
Ransomware
Schützen Sie Ihr Unternehmen vor Ransomware
Experten treffen
Der Microsoft Threat Intelligence Podcast
Hören Sie sich die Geschichten der Microsoft Threat Intelligence-Community an, die sich durch die sich ständig verändernde Bedrohungslandschaft bewegt und APTs, Cybercrime-Banden, Malware, Schwachstellen und mehr in der Welt der Cyberbedrohungen aufdeckt.
Unsere Experten
Expertenprofil
Abwehr von SIM-Swapping und KI-gestütztem Social Engineering
Expertenprofil
Das Expertenteam zur Bekämpfung der Geschenkkarten-Betrugsmasche Storm-0539
Expertenprofil
Expertenprofil: Homa Hayatyfar
Intelligence-Berichte erkunden
Microsoft-Bericht über digitale Abwehr
In der neuesten Ausgabe des Microsoft-Berichts über digitale Abwehr wird die sich ständig verändernde Bedrohungslandschaft beleuchtet. Zudem werden Chancen und Herausforderungen auf dem Weg zur Cyberresilienz aufgezeigt.
Praktische Cyberabwehr aufrechterhalten
Cyberhygiene
99 % aller Angriffe sind durch grundlegende Cyberhygiene vermeidbar
Bedrohungssuche
Mehr zum ABC der Bedrohungssuche
Cyberverbrechen
Cyberkriminelle davon abhalten, Sicherheitstools zu missbrauchen
Mehr erfahren
Microsoft Threat Intelligence-Blog
Weitere aktuelle Informationen finden Sie im Microsoft Threat Intelligence-Blog. Dort werden die neuesten Bedrohungen behandelt und es gibt Anleitungen zum Schutz Ihrer Kunden.
Bedrohungen suchen
Cyber-Herausforderungsserie von Microsoft und KC7
Spielen Sie in diesem Cybersicherheits-Detektivspiel die Rolle eines Bedrohungsanalysten und lernen Sie, wie Sie realistische Einbruchsversuche untersuchen.
Microsoft Security folgen