Medusa versucht Insider-Rekrutierung bei BBC: MFA-Bombing als Druckmittel

Foto des Autors

CyberSecureFox Editorial Team

Die Ransomware-Gruppe Medusa hat laut dem BBC-Cybersicherheitsreporter Joe Tidy versucht, einen Insiderzugang zur BBC-Infrastruktur zu kaufen – inklusive eines finanziell attraktiven Angebots und der anschließenden Nutzung von MFA-Bombing, um einen initialen Zugriff zu erzwingen. Der Vorfall verdeutlicht, wie professionell Erpressergruppen Insider ansprechen und Push-basiertes Multi-Faktor-Login missbrauchen.

Insider-Ansprache, Geldangebot und MFA-Spam: So lief der Angriff

Ein Akteur mit dem Pseudonym Syndicate kontaktierte Tidy über einen verschlüsselten Messenger. Zunächst wurden 15 % des potenziellen Lösegelds angeboten, später erhöht um weitere 10 %. Der Anspruch: Bei einem erfolgreichen Angriff auf die BBC seien Forderungen in zweistelliger Millionenhöhe (USD) denkbar. Um die Ernsthaftigkeit zu untermauern, stellte der Täter eine Escrow-Einzahlung von 0,5 BTC (rund 55.000 US-Dollar) auf einem einschlägigen Forum in Aussicht.

Operativ sollte auf Tidys Laptop ein Skript ausgeführt werden – mutmaßlich, um eine erste Foothold-Position im Netzwerk zu schaffen. Als die Kommunikation ins Stocken geriet, erhielt Tidy eine Flut von Push-Anfragen zur Bestätigung der Anmeldung: ein klassisches MFA-Bombing (auch MFA-Spam), bei dem Angreifer mit bereits erbeuteten Zugangsdaten hoffen, dass das Opfer versehentlich oder aus Frust zustimmt. Tidy bestätigte keine Anfrage und informierte umgehend die BBC-Sicherheitsabteilung; sein Zugang wurde vorsorglich deaktiviert. Der mutmaßliche Medusa-Vertreter entschuldigte sich später für die MFA-Spam-Welle und löschte nach einigen Tagen die Signal-ID.

Bedrohungsprofil Medusa: Taktiken, Techniken und Verfahren

Medusa ist mindestens seit Januar 2021 aktiv. Nach Einschätzung der US-Behörde CISA wird die Gruppe mit hunderten Angriffen auf Organisationen kritischer Infrastruktur in Verbindung gebracht. Medusas Kernkompetenz liegt im Post-Compromise: seitliche Bewegung, Datenexfiltration, Verschlüsselung und Doppelterpressung durch Leaks.

Für den Erstzugang setzt Medusa laut Analysen auf Initial Access Broker (IAB), die kompromittierte Konten oder VPN-/RDP-Zugänge im Untergrundhandel anbieten. Die direkte Rekrutierung von Insidern ist die logische Erweiterung: Interner Zugang umgeht Perimeterschutz, beschleunigt die Erkundung des Netzwerks und reduziert die Sichtbarkeit in Protokollen.

Warum Insiderzugang für Ransomware-Gruppen so attraktiv ist

Insider senken operative Risiken: weniger auffällige Scans, schnellere Privilege Escalation und direkter Zugriff auf kritische Systeme. Kombiniert mit finanziellen Anreizen bleibt Social Engineering eine der effektivsten Kompromittierungsmethoden. Der anhaltende Bedarf im IAB-Markt und bei Insider-Szenarien zeigt sich besonders bei Medienhäusern, Tech-Firmen und Betreibern kritischer Infrastrukturen.

Abwehrstrategien: MFA-Härtung, Insider-Risikomanagement und Vorbereitung

MFA-Bombing verhindern und Authentisierung stärken

– Aktivieren Sie Schutzmechanismen für Push-Anfragen: Number Matching/Code-Bestätigung, Kontextanzeige (App, Standort, IP), Rate-Limits und automatische Sperren nach wiederholten Ablehnungen. Anbieter wie Microsoft empfehlen Number Matching explizit.

– Wechseln Sie auf phishing-resistente Faktoren (FIDO2/WebAuthn, Hardware-Token) und reduzieren Sie Abhängigkeiten von Push- oder SMS/OTP. Dies entspricht Best Practices von NIST (SP 800-63) und der FIDO Alliance.

Least Privilege, Monitoring und Sensibilisierung

– Durchsetzen des Prinzip der geringsten Rechte, Just-in-Time-Zugriffe und konsequente Netzwerksegmentierung im Sinne von Zero Trust.

– Einsatz von EDR/XDR mit Verhaltensanalytik, Korrelation ungewöhnlicher Logins und Erkennung von MFA-Anomalien (z. B. ungewöhnliche Häufung von Push-Anfragen).

– Aufbau von Awareness-Programmen und vertraulichen Meldekanälen für Bestechungs- und Rekrutierungsversuche; regelmäßige Social-Engineering-Übungen und Red-Team-Szenarien.

Vorbereitung und Reaktion auf Insider-Vorfälle

– Aktualisierte Incident-Response-Playbooks für Insiderangriffe und MFA-Fatigue, ergänzt durch Tabletop-Übungen mit Fachbereichen, HR und Recht.

– Stärkere Third-Party-Governance: vertragliche Zugriffskontrollen, Protokollierung, least privilege für Dienstleister sowie klar definierte Offboarding-Prozesse.

Der Fall zeigt die fortschreitende Kommerzialisierung von Zugangsdaten und die Bereitschaft von Ransomware-Gruppen, für zuverlässige Einstiegspunkte zu zahlen. Organisationen sollten jetzt handeln: Push-basierte MFA absichern, phishing-resistente Authentisierung priorisieren, Anomalieerkennung ausbauen und eine Kultur des „wachsamen Ablehnens“ etablieren. Ein praktischer Einstieg: MFA-Einstellungen binnen 30 Tagen auf Number Matching umstellen, ein Pilot mit FIDO2-Keys starten und einen

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen