3AM-Ransomware-Gruppe setzt auf virtuelle Maschine für verdeckte Angriffe
Laut einer Analyse von Sophos nutzt die Ransomware-Gruppe 3AM für ihre Angriffe virtuelle Maschinen und Social Engineering, um Fernzugriff auf Netzwerke zu erhalten. Bestehende Sicherheitsstrategien von Unternehmen können sie so mitunter umgehen.
Die Ransomware-Gruppe 3AM kombiniert bei aktuellen Ransomware-Angriffen Social-Engineering-Taktiken, E-Mail-Bombing und den Einsatz legitimer Fernwartungstools mit einer neuen technischen Komponente. Wie das Cybersicherheitsunternehmen Sophos mitteilt, gelinge es Cyberkriminellen, eine virtuelle Maschine als verdeckten Zugangspunkt in Unternehmensnetzwerke einzuschleusen und so klassische Endpoint-Schutzmassnahmen zu umgehen. Einen solchen Angriff habe Sophos X-Ops im ersten Quartal 2025 festgestellt, bei dem Mitarbeitende eines Unternehmens durch Voice-Phishing (Vishing) getäuscht und zu Fernzugriffen per Microsoft Quick Assist verleitet wurden.
Tarnung durch virtuelle Maschine
Im besagten Fall verschafften sich die Angreifer mithilfe einer realen Telefonnummer der unternehmensinternen IT-Abteilung das Vertrauen des Opfers und erlangten so den Fernzugriff. Nach erfolgreicher Täuschung via Social Engineering installierten sie über ein heruntergeladenes Archiv eine manipulierte virtuelle Maschine, die im Hintergrund mit Hilfe von Qemu ohne Installation ausgeführt wurde. In dieser Umgebung arbeitete der Trojaner QDoor, der eine verschlüsselte Verbindung zu einem externen Command-and-Control-Server herstellte. Wie es weiter heisst, hatten die Angreifer auf diese Weise bis zu neun Tage unentdeckt Zugang zum Netzwerk, konnten Administratoren-Konten kompromittieren sowie kommerzielle Remote-Management-Tools nutzen.
Trotz implementierter Multifaktor-Authentifizierung (MFA) und Endpoint Detection and Response auf fast allen Geräten gelang es den Angreifern, etwa 868 Gigabyte an Daten zu exfiltrieren. Erst beim anschliessende nVersuch, eine Ransomware auf einem nicht geschützten Server im Netzwerk zu starten und die Daten zu verschlüsseln, flog der Angriff auf.
Sophos X-Ops rät zu Massnahmen
Unternehmen sollten durch Massnahmen wie die Sensibilisierung von Mitarbeitenden, strikte Zugangskontrollen, Software- und Skriptkontrollen, Netzwerksegmentierung und Firewalling sowie die Absicherung von Registry-Zugriffen dass Risiko solcher Angriffe verringern.
Lesen Sie hier, wie die Ransomware-Gruppe Mora_001 gezielt Sicherheitslücken bei Fortinet ausnutzt.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
OpenAI-CEO glaubt an die baldige digitale Superintelligenz
Diese Digitaltunternehmen gestalten die KI-Transformation in der Schweiz
Wenn die Infrastruktur bremst – wie Unternehmen sich selbst ausbremsen
Auslagern, was nicht zum Kerngeschäft gehört
Firmenporträt ensec
Firmenporträt Centris
Digitale Transformation in der Verwaltung: Legacy und Innovation im Gleichgewicht
Von der Wohnzimmer-Firma zur Nummer eins in der Europäischen Union
Gemeinsam stärker – interne Kultur trifft externe Marktkenntnis
