Vor dem Hintergrund anhaltender Spannungen im Nahen Osten haben Sicherheitsforscher eine umfangreiche Password-Spraying-Kampagne gegen Microsoft-365-Cloudumgebungen identifiziert, die mit Iran-nahen Akteuren in Verbindung gebracht wird. Nach Erkenntnissen von Check Point richten sich die Angriffe vorrangig gegen Organisationen in Israel und den Vereinigten Arabischen Emiraten (VAE), betreffen jedoch auch Unternehmen in Europa, den USA, Grossbritannien und Saudi-Arabien.
Ausmass der Password-Spraying-Angriffe auf Microsoft 365
Die beobachtete Kampagne verläuft in klaren Wellen und ist weiterhin aktiv. Check Point meldet erhöhte Aktivität insbesondere am 3., 13. und 23. März 2026. Betroffen sind mehr als 300 Organisationen in Israel sowie über 25 Unternehmen in den VAE. Ziel sind sowohl staatliche Einrichtungen und Kommunen als auch Transport-, Energie- und Technologieunternehmen sowie Organisationen aus dem privaten Sektor.
Microsoft 365 als attraktives Ziel für Angreifer
Im Fokus stehen Microsoft-365-Workloads wie Exchange Online, OneDrive, SharePoint und verbundene Dienste. Gelingt die Kompromittierung eines Cloud-Kontos, erhalten Angreifer Zugriff auf vertrauliche E-Mails, Dokumente und Dateien und können diese Informationen zur weiteren Ausbreitung in der Infrastruktur oder für nachgelagerte Spionage- und Erpressungskampagnen nutzen.
Was ist Password Spraying – und warum ist es so wirksam?
Password Spraying ist eine Form des Kennwortangriffs, bei der Angreifer eine kleine Menge sehr verbreiteter Passwörter (z. B. „Sommer2024!“, „Welcome123“) systematisch gegen eine grosse Zahl von Benutzerkonten testen. Im Gegensatz zum klassischen Brute-Force-Angriff, bei dem viele Passwörter gegen ein einzelnes Konto probiert werden, werden hier wenige Passwörter gegen viele Konten eingesetzt.
Dieser Ansatz reduziert das Risiko, Sperrmechanismen oder Alarme auszulösen, da jedes Konto nur wenige Fehlversuche aufweist. Gerade in Cloud-Umgebungen wie Microsoft 365, in denen standardisierte Login-Portale global erreichbar sind, zählt Password Spraying zu den effizientesten Methoden, schwache oder wiederverwendete Passwörter im Massstab tausender Konten aufzuspüren.
Indikatoren für Peach Sandstorm und Gray Sandstorm
Check Point weist darauf hin, dass die beobachteten Techniken eng an das bekannte Vorgehen der iranischen Gruppen Peach Sandstorm und Gray Sandstorm (ehemals DEV‑0343) erinnern, die sich traditionell auf staatliche Stellen und kritische Infrastrukturen konzentrieren. In den Microsoft‑365-Protokollen der aktuellen Kampagne zeigen sich Übereinstimmungen mit Taktiken von Gray Sandstorm, darunter der Einsatz von Red-Teaming-Tools über Tor-Ausgangsknoten.
Die Infrastruktur der Angreifer kombiniert Tor-Knoten mit kommerziellen VPN-Diensten. Hervorgehoben werden dabei unter anderem Server in der autonomen Systemnummer AS35758 (Rachamim Aviel Twito). Dieses Muster deckt sich mit jüngsten Aktivitäten, die mit pro-iranischen Strukturen im Nahen Osten in Verbindung gebracht werden.
Dreiphasiger Angriff auf Microsoft-365-Konten
Die von den Forschern rekonstruierte Angriffskette besteht im Wesentlichen aus drei Phasen. Zunächst erfolgt aus Tor- und VPN-Netzen ein intensives Scannen und Password Spraying gegen umfangreiche Benutzerlisten. Ziel ist es, erste gültige Anmeldeinformationen zu erlangen, ohne Sicherheitsmechanismen offensichtlich auszulösen.
In der zweiten Phase konsolidieren die Angreifer ihren Zugriff. Sie melden sich in kompromittierten Postfächern an, prüfen Ordnerstrukturen, delegierte Zugriffsrechte und angebundene Cloud-Dienste und richten gegebenenfalls zusätzliche Regeln oder heimliche Zugriffsmöglichkeiten ein, um ihr Persistenz-Niveau zu erhöhen.
Die dritte Phase umfasst die Datenexfiltration. Neben dem vollständigen Dump von Postfächern werden potentiell Dokumente aus OneDrive und SharePoint sowie Metadaten abgezogen. Solche Informationen lassen sich für gezielte Phishing-Kampagnen, Social Engineering oder politische Einflussoperationen weiterverwenden.
Pay2Key und BQTLock: Iran-nahe Ransomware im Schatten der Cloud-Angriffe
Parallel zur Password-Spraying-Kampagne wurde Ende Februar 2026 eine grosse medizinische Organisation in den USA Opfer der Iran-nahen Ransomware Pay2Key, die im Modell Ransomware-as-a-Service (RaaS) betrieben wird und von Experten mit der Gruppe Fox Kitten in Verbindung gebracht wird.
Beazley Security und Halcyon berichten, dass in diesem Fall auf die sonst gängige „Double-Extortion“-Taktik verzichtet wurde. Statt mit Datenlecks zu drohen, setzten die Angreifer auf schnelle Verschlüsselung und Destruktion. Der Angriffsweg umfasste einen bislang nicht offengelegten Erstzugang, den Einsatz legitimer Fernwartungssoftware wie TeamViewer, Credential Theft für laterale Bewegung, die Deaktivierung von Microsoft Defender Antivirus mittels Vortäuschung eines Fremdprodukts, massives Erschweren der Wiederherstellung, den Roll-out des Verschlüsselers und eine vollständige Löschung der Ereignisprotokolle am Ende.
Mit ihrer Rückkehr 2025–2026 hat Pay2Key die Konditionen für Affiliates angepasst und bietet nun bis zu 80 % des Lösegelds für Angriffe auf „Feinde Irans“. Fast zeitgleich wurde ein Linux-Ableger von Pay2Key dokumentiert, der Root-Rechte benötigt, die Dateisysteme scannt und Daten mit ChaCha20 verschlüsselt. Zuvor deaktiviert er Sicherheitsfunktionen wie SELinux und AppArmor, stoppt Dienste und legt Cron-Jobs an, um Neustarts zu überstehen.
Hinzu kommt der von Halcyon beobachtete Aufruf des Betreibers der Ransomware Sicarii, pro-iranische Operatoren sollten auf Baqiyat 313 Locker (BQTLock) wechseln. Diese Ransomware tritt mit pro-palästinensischer Motivation auf und zielt seit Juli 2025 auf Organisationen in den VAE, den USA und Israel.
Konkrete Schutzmassnahmen für Microsoft 365 und gegen Ransomware
Organisationen, die Microsoft 365 oder andere Cloud-Plattformen nutzen, sollten grundlegende, aber wirksame Sicherheitsmassnahmen umsetzen. Dazu gehört ein kontinuierliches Monitoring der Anmeldeprotokolle mit Alarmen bei vielen fehlgeschlagenen Logins über verschiedene Konten hinweg, insbesondere aus anonymen Netzen oder ungewohnten Geo-Standorten.
Ebenso wichtig ist der Einsatz von Conditional Access, um Zugriffe auf definierte Länder, Unternehmens-VPNs oder vertrauenswürdige IP-Bereiche zu begrenzen. Eine konsequent für alle Konten aktivierte Multi-Faktor-Authentifizierung (MFA) – idealerweise phishing-resistent – ist eine der effektivsten Barrieren gegen Password Spraying und Passwortdiebstahl.
Unternehmen sollten ausserdem Audit- und Sign-In-Logs aktivieren, zentral sammeln und regelmässig exportieren, etwa in ein SIEM-System. Nur mit vollständigen Protokollen lässt sich im Ernstfall eine forensische Analyse durchführen, um Einfallswege zu identifizieren und systematisch zu schliessen.
Um die Auswirkungen von Ransomware zu begrenzen, sind regelmässige, offline gespeicherte Backups, eine fein granulare Netzsegmentierung, das Prinzip der geringsten Rechte, die Einschränkung oder Protokollierung von Fernwartungswerkzeugen sowie ein strukturiertes Patch-Management entscheidend. Ergänzend dazu erhöhen Sicherheitsbewusstseinsschulungen und erprobte Incident-Response-Prozesse die Widerstandsfähigkeit gegenüber sowohl Cloud-Angriffen als auch zerstörerischen Ransomware-Kampagnen.
Angesichts der Verbindung zwischen geopolitischen Konflikten, staatlich beeinflussten Gruppen und klassischer Cyberkriminalität sollten Organisationen ihre Microsoft-365-Sicherheitskonfiguration, MFA-Umsetzung, Protokollierung und Backup-Strategie kritisch überprüfen. Wer seine Cloud-Konten härtet, Angriffsflächen reduziert und Reaktionsprozesse vorbereitet, senkt nicht nur das Risiko erfolgreicher Password-Spraying-Angriffe, sondern stärkt seine gesamte Cyber-Resilienz gegenüber zunehmend hybriden Bedrohungen.
