Cybersicherheitsexperten haben eine besorgniserregende Entwicklung im Bereich der Phishing-Bedrohungen identifiziert: Die neue Phishing-as-a-Service (PhaaS) Plattform FlowerStorm gewinnt nach dem technischen Zusammenbruch des bekannten Dienstes Rockstar2FA rapide an Bedeutung. Analysten von Sophos haben signifikante Übereinstimmungen zwischen beiden Plattformen festgestellt, was auf ein mögliches Rebranding hindeutet.
Technischer Ausfall und Marktdynamik
Am 11. November 2024 erlebte die etablierte PhaaS-Plattform Rockstar2FA einen schwerwiegenden technischen Ausfall, der zur vollständigen Einstellung ihrer Dienste führte. Bemerkenswert ist, dass dieser Ausfall nicht auf Strafverfolgungsmaßnahmen zurückzuführen war. FlowerStorm, erstmals im Juni 2024 entdeckt, nutzte diese Marktlücke geschickt aus und etablierte sich schnell als dominanter Akteur in der cyberkriminellen Szene.
Technische Infrastruktur und Angriffsmethoden
Die forensische Analyse zeigt frappante Ähnlichkeiten in der technischen Implementierung beider Plattformen. FlowerStorm repliziert dabei mehrere charakteristische Merkmale von Rockstar2FA:
- Täuschend echte Nachbildungen von Microsoft 365-Anmeldeseiten
- Strategische Nutzung von Domains in den Zonen .com, .de, .ru und .moscow
- Identische HTML-Strukturen der Phishing-Seiten
- Gleichartige Mechanismen zur Erfassung und Validierung von Zugangsdaten
Bedrohungsanalyse und Zielgruppen
Die Sophos-Untersuchung offenbart, dass FlowerStorm primär auf US-amerikanische Ziele ausgerichtet ist, wobei 63% der Angriffe Organisationen und 84% Privatpersonen betreffen. Das Ausmaß der Bedrohung wird durch die Übernahme des von Rockstar2FA aufgebauten Netzwerks von über 2.000 Domains noch verstärkt.
Technische Indikatoren der Verbindung
Mehrere technische Merkmale erhärten die These einer direkten Verbindung zwischen beiden Plattformen:
- Übereinstimmende Muster bei der Domainregistrierung
- Identische Hosting-Infrastrukturen
- Koordinierte Aktivitätsmuster
- Charakteristische Backend-Konfigurationsfehler
Die rasante Expansion von FlowerStorm stellt eine ernsthafte Bedrohung für die globale Cybersicherheit dar, insbesondere für Unternehmen, die Microsoft 365 nutzen. Organisationen wird dringend empfohlen, ihre Sicherheitsmaßnahmen zu verstärken, wobei der Fokus auf robuster Mehr-Faktor-Authentifizierung und regelmäßigen Security-Awareness-Schulungen liegen sollte. Die Implementierung moderner Phishing-Erkennungssysteme und die kontinuierliche Überwachung verdächtiger Aktivitäten sind dabei essentiell für einen effektiven Schutz gegen diese evolvierende Bedrohung.
