ShinyHunters: Neue Vishing-Welle bedroht Unternehmens-Clouds

Eine neue, hochgefährliche Angriffswelle der berüchtigten Hackergruppe ShinyHunters zielt gezielt auf deutsche Unternehmen. Statt auf Software-Lücken setzen die Kriminellen auf raffinierte Telefonbetrügereien, um an Zugangsdaten zu gelangen.

Seit Anfang 2026 hat die Intensität der Angriffe deutlich zugenommen. Die als UNC6661 und UNC6240 bekannte Gruppe nutzt sogenanntes Voice-Phishing (Vishing). Dabei geben sich die Täter am Telefon als interne IT-Mitarbeiter aus und täuschen dringende Sicherheitsupdates vor. Ihr Ziel: Die Zugangsdaten der Angerufenen samt Einmal-Codes für die Multi-Faktor-Authentifizierung (MFA) abzugreifen.

So funktioniert der perfide Angriff

Die Vorgehensweise ist minutiös geplant. Nach dem Anruf leiten die Angreifer ihr Opfer auf eine täuschend echte Phishing-Webseite, die oft die Domain des Zielunternehmens imitiert. Dort werden die Mitarbeiter zur Eingabe ihrer Anmeldedaten und der aktuellen MFA-Codes aufgefordert.

Mit diesen Informationen übernehmen die Kriminellen nicht nur die laufende Sitzung. Sie registrieren auch sofort ein eigenes Gerät im System. Das verschafft ihnen einen dauerhaften und schwer zu entdeckenden Zugang zur gesamten IT-Infrastruktur. Ein einziger erfolgreicher Anruf kann somit das gesamte Firmennetzwerk kompromittieren.

Telefonbetrügereien wie Vishing sind derzeit der Haupttreiber für erfolgreiche Unternehmenskompromittierungen. Ein einziger Anruf genügt, um MFA‑Codes abzugreifen oder Mitarbeiter zur Preisgabe von Zugangsdaten zu bringen. Das kostenlose Anti‑Phishing‑Paket liefert einen praxisnahen 4‑Schritte‑Plan: Erkennen gefälschter Domains, sichere Helpdesk‑Prozesse für Passwort‑Reset, konkrete Trainingsübungen und technische Checks, die Lücken schließen. Ideal für IT‑Leiter und Sicherheitsbeauftragte, die Angriffe früh stoppen wollen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Systematischer Datenraub mit verheerenden Folgen

Einmal im System, haben die Hacker über den kompromittierten Single-Sign-On (SSO) Zugriff auf nahezu alle Cloud-Anwendungen. Sie durchsuchen gezielt Plattformen wie Microsoft 365, Salesforce oder Slack nach sensiblen Informationen.

Besonders im Fokus stehen personenbezogene Daten (PII) aus CRM-Systemen. Diese eignen sich perfekt für Erpressungen oder den Weiterverkauf im Darknet. Um ihre Spuren zu verwischen, nutzen die Täter aktive Verschleierungstaktiken. In einigen Fällen löschten sie automatisch Sicherheitswarnungen über neu registrierte Geräte aus den Postfächern der Opfer.

Warum klassische Sicherheit hier versagt

Die Kampagne verdeutlicht eine alarmierende Entwicklung. Moderne Sicherheitskonzepte wie die MFA werden nicht mehr nur technisch umgangen, sondern durch geschickte menschliche Manipulation ausgehebelt. Die Angriffe basieren nicht auf Software-Schwachstellen, sondern ausschließlich auf Social Engineering.

ShinyHunters ist seit 2019 aktiv und für spektakuläre Datenlecks bekannt. Die jüngste Welle zeigt, wie die Gruppe ihre Methoden stetig verfeinert und sich an verbesserte Abwehrmaßnahmen anpasst. Die Täter werden zunehmend aggressiver und setzen sogar Drohungen per SMS oder DDoS-Angriffe ein, um ihren Forderungen Nachdruck zu verleihen.

Wie sich Unternehmen effektiv schützen können

Gegen diese Art von Angriff sind herkömmliche Patches oder Firewalls wirkungslos. Experten betonen, dass nur eine Kombination aus Technologie und Mitarbeitersensibilisierung hilft.

Die wirksamste technische Gegenmaßnahme ist der Einsatz phishing-resistenter MFA-Verfahren. Dazu gehören FIDO2-Sicherheitsschlüssel oder Passkeys. Im Gegensatz zu SMS-Codes können diese nicht durch Social Engineering abgefangen werden.

Unternehmen sollten zudem ihre internen Prozesse überprüfen. Kritisch sind Self-Service-Portale zur Passwortzurücksetzung und die Registrierung neuer MFA-Geräte. Jede entsprechende Anfrage beim IT-Helpdesk muss streng verifiziert werden. Eine kontinuierliche Überwachung der Systemprotokolle kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen.

Die entscheidende Frage bleibt: Sind die Mitarbeiter auf solche manipulativen Anrufe vorbereitet? Regelmäßige Schulungen zum Thema Social Engineering sind in der aktuellen Bedrohungslage kein Nice-to-have, sondern eine zwingende Notwendigkeit.

PS: Schutz endet nicht bei Technik — Ihre Mitarbeitenden sind die erste Verteidigungslinie. Dieses Anti‑Phishing‑Paket enthält fertige Schulungsfolien, Beispiele realer Vishing‑Skripte, Checklisten für MFA‑Registrierungen und Maßnahmen gegen CEO‑Fraud, damit Ihre Teams manipulatives Verhalten am Telefon sofort erkennen und richtig reagieren. Holen Sie sich die Unterlagen für schnelle Implementierung und regelmäßige Sensibilisierung. Jetzt Anti‑Phishing‑Paket für Ihr Team anfordern