{"id":219401,"date":"2026-02-23T11:54:37","date_gmt":"2026-02-23T10:54:37","guid":{"rendered":"https:\/\/liora.io\/de\/shinyhunters-halten-saas-unternehmen-als-geiseln-ist-ihr-unternehmen-als-naechstes-dran"},"modified":"2026-02-23T11:54:37","modified_gmt":"2026-02-23T10:54:37","slug":"shinyhunters-halten-saas-unternehmen-als-geiseln-ist-ihr-unternehmen-als-naechstes-dran","status":"publish","type":"post","link":"https:\/\/liora.io\/de\/shinyhunters-halten-saas-unternehmen-als-geiseln-ist-ihr-unternehmen-als-naechstes-dran","title":{"rendered":"ShinyHunters halten SaaS-Unternehmen als Geiseln: Ist Ihr Unternehmen als N\u00e4chstes dran?"},"content":{"rendered":"

Cyberkriminelle, die unter der Marke ShinyHunters operieren, haben eine ausgefeilte Erpressungskampagne gestartet, die auf Cloud-Systeme von Unternehmen abzielt und mittels Voice-Phishing-Angriffen erfolgt, welche die Multi-Faktor-Authentifizierung umgehen, laut einer gemeinsamen Untersuchung von Mandiant und der Google Threat Intelligence Group. Die Angreifer geben sich als IT-Mitarbeiter aus, um Angestellte dazu zu bringen, ihre Zugangsdaten auf gef\u00e4lschten Login-Seiten einzugeben, und entwenden anschlie\u00dfend sensible Daten von Plattformen wie Salesforce und SharePoint zu Erpressungszwecken.<\/strong><\/p>\n

Die Angriffe folgen einem kalkulierten Muster, das bereits etliche Organisationen kompromittiert hat, wobei die Opfer auf einer neuen SHINYHUNTERS<\/strong>-Leak-Seite erscheinen, die Ende Januar 2026 laut der Untersuchung von Mandiant und Google auftauchte. Die Seite listet betroffene Unternehmen auf und enth\u00e4lt Kontaktinformationen, die zuvor bereits mit der Gruppe in Verbindung gebracht wurden.<\/p>\n

W\u00e4hrend dieser Angriffe rufen Kriminelle die Mitarbeiter an und geben sich als Angeh\u00f6rige der IT-Abteilung ihres Unternehmens aus, wobei sie die Notwendigkeit einer Aktualisierung der Multi-Faktor-Authentifizierung<\/strong> vorsch\u00fctzen. Den Opfern wird daraufhin geraten, sich auf gef\u00e4lschten Login-Seiten anzumelden, die legitime Single-Sign-On-Portale (SSO) t\u00e4uschend echt nachahmen, h\u00e4ufig unter Domains wie „companyname-sso.com“ oder „companyname-internal.com“, registriert \u00fcber Dienste wie NICENIC<\/strong> und Tucows<\/strong>.<\/p>\n

Sobald Mitarbeiter ihre Anmeldedaten und MFA-Codes eingeben, \u00fcbernehmen die Angreifer sofort deren Konten und registrieren eigene Ger\u00e4te als g\u00fcltige Authentifizierungsmethoden, wodurch ihnen ein dauerhafter Zugriff auf die Unternehmenssysteme gesichert wird. Um der Entdeckung zu entgehen, l\u00f6schen die Kriminellen laut Bericht Sicherheitsbenachrichtigungs-E-Mails, die die Opfer auf die neue Ger\u00e4teregistrierung aufmerksam machen w\u00fcrden.<\/p>\n

Eskalierende Erpressungstaktiken<\/h3>\n

Nachdem sie Zugriff erlangt haben, zielen die Angreifer auf alle verf\u00fcgbaren Daten auf Plattformen wie Salesforce<\/strong>, SharePoint<\/strong>, Docusign<\/strong> und Slack<\/strong> ab. Sie verwenden PowerShell-Befehle, um Dateien von SharePoint und OneDrive herunterzuladen, und suchen dabei gezielt nach Dokumenten, die Schlagw\u00f6rter wie „vertraulich“, „intern“ und „Salesforce“ enthalten, wie die Ermittler feststellten.<\/p>\n

Die Erpressungsphase beginnt mit E-Mails im ShinyHunters-Design<\/strong>, in denen innerhalb von 72 Stunden<\/strong> eine Bitcoin-Zahlung gefordert wird. Die Angreifer liefern Muster gestohlener Daten, die auf Diensten wie Limewire gehostet werden, als Beweis f\u00fcr den Einbruch. Wenn Opfer nicht kooperieren, eskaliert die Gruppe die Lage mit bel\u00e4stigenden Textnachrichten an Mitarbeiter und DDoS-Angriffen gegen die Webseiten des Unternehmens.<\/p>\n

Sicherheitsforscher haben diese Operationen der Gruppe Scattered Spider (auch als UNC3944 verfolgt) zugeordnet, die als mit ShinyHunters verb\u00fcndet oder identisch identifiziert wurde. Die Kampagne zeigt, dass selbst Organisationen mit modernen Sicherheitskontrollen f\u00fcr ausgekl\u00fcgelte Social-Engineering-Angriffe anf\u00e4llig bleiben.<\/p>\n

Um sich gegen diese Bedrohungen zu sch\u00fctzen, empfehlen Sicherheitsexperten die Migration zu Phishing-resistenten MFA-Methoden wie FIDO2-Sicherheitsschl\u00fcsseln oder Passkeys. Organisationen sollten zudem eine hochsichere Verifizierung f\u00fcr Passwortzur\u00fccksetzungen verlangen, einschlie\u00dflich Live-Videoanrufen, bei denen Benutzer amtliche Ausweisdokumente vorlegen. Erkennungsteams sollten auf verd\u00e4chtige Muster achten, einschlie\u00dflich MFA-Ger\u00e4teregistrierungen unmittelbar nach Anmeldungen von neuen Standorten sowie der Nutzung von PowerShell f\u00fcr Massendownloads von Cloud-Speicherplattformen.<\/p>\n

\n

\n Sources
\n <\/h3>\n
    \n
  • Google Cloud<\/li>\n
  • Varonis<\/li>\n<\/ul>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Cyberkriminelle, die unter der Marke ShinyHunters operieren, haben eine ausgefeilte Erpressungskampagne gestartet, die auf Cloud-Systeme von Unternehmen abzielt und mittels Voice-Phishing-Angriffen erfolgt, welche die Multi-Faktor-Authentifizierung umgehen, laut einer gemeinsamen Untersuchung von Mandiant und der Google Threat Intelligence Group. Die Angreifer geben sich als IT-Mitarbeiter aus, um Angestellte dazu zu bringen, ihre Zugangsdaten auf gef\u00e4lschten Login-Seiten einzugeben, und entwenden anschlie\u00dfend sensible Daten von Plattformen wie Salesforce und SharePoint zu Erpressungszwecken.<\/p>\n","protected":false},"author":87,"featured_media":219398,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2473,2475],"class_list":["post-219401","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersicherheit","category-nachrichten"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/219401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/users\/87"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/comments?post=219401"}],"version-history":[{"count":0,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/219401\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media\/219398"}],"wp:attachment":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media?parent=219401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/categories?post=219401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}