Virtuelle Tarnkappe: Ransomware unter dem Radar
Eine virtuelle Maschine als Einfallstor, Social Engineering am Telefon und legitime Fernwartungstools: Die Cybercrime-Gruppe 3AM hat ihre Methoden weiterentwickelt. In der neuen Angriffswelle trifft technische Raffinesse auf psychologische Manipulation – mit erschreckendem Erfolg.
Im ersten Quartal 2025 geriet ein Unternehmen ins Visier der 3AM-Gruppe – und wurde Ziel eines vielschichtigen Angriffs. Der erste Schritt: eine massive E-Mail-Flut, um das Opfer zu überfordern. Parallel dazu meldeten sich die Angreifer telefonisch, gaben sich überzeugend als interne IT-Hilfe aus und nutzten sogar die reale Rufnummer der IT-Abteilung, die sie zuvor ausgespäht hatten.
Das Ziel war klar: Vertrauen erschleichen. Und es funktionierte. Über Microsoft Quick Assist wurde den vermeintlichen Kollegen Fernzugriff auf das System gewährt – die erste Tür war offen.
QEMU statt Malware: Die VM als perfekte Tarnung
Was danach geschah, stellt viele bekannte Angriffsstrategien in den Schatten. Die Angreifer installierten keine klassische Malware – sie luden eine virtuelle Maschine (VM) mithilfe der Open-Source-Software QEMU. Ohne Installation und unauffällig im Hintergrund ausgeführt, agierte die VM als abgeschotteter Angriffsraum, ausgestattet mit der Backdoor QDoor, die verschlüsselte Verbindungen ins Ausland aufbaute.
Neun Tage lang blieb die virtuelle Maschine unentdeckt – klassische Endpoint-Schutzsysteme griffen nicht. Innerhalb dieses Zeitfensters konnten die Angreifer Admin-Konten kompromittieren, neue Benutzer anlegen und Remote-Tools wie XEOX zur weiteren Infiltration einsetzen.
MFA und EDR – wichtige Hürden, aber kein Schutzschild
Trotz aktivierter Multifaktor-Authentifizierung und moderner Endpoint-Detection-and-Response-Systeme gelang es den Angreifern, 868 Gigabyte an Daten zu exfiltrieren. Ein ungepatchter und ungeschützter Server diente schließlich als Sprungbrett für den eigentlichen Ransomware-Angriff – ausgeführt mit einer Datei namens L.exe.
Dank Sophos CryptoGuard konnte die finale Verschlüsselung verhindert werden. Der Angriff zeigte aber deutlich: Selbst moderne Schutzmaßnahmen bieten keine Garantie, wenn Social Engineering erfolgreich ist und technologische Kreativität auf Nachlässigkeit trifft.
Warnung an Unternehmen: Fernzugriffe im Fokus
„Die Kombination aus Vishing, E-Mail-Bombing und virtuellen Maschinen macht die neue Taktik von 3AM so gefährlich“, warnt Sean Gallagher, Principal Threat Researcher bei Sophos. Sein Appell: Unternehmen müssen den Fernzugriff massiv einschränken und unterbinden, dass virtuelle Maschinen unkontrolliert auf Endgeräten laufen können.
Empfohlene Gegenmaßnahmen im Überblick
- Mitarbeiterschulungen: Regelmäßige Trainings zu Social Engineering, Vishing und sicherem Remote-Zugriff
- Zugriffsmanagement: Adminrechte minimieren, Konten regelmäßig überprüfen, MFA verpflichtend einsetzen
- Software-Policies: Ausführungsrechte für Tools wie QEMU, PowerShell und Scripte strikt kontrollieren
- Netzwerksicherheit: Segmentierung, gezielte Firewall-Regeln und Monitoring verdächtiger Verbindungen
- Registry-Absicherung: Schreibrechte auf kritische Schlüssel nur für autorisierte Prozesse und Nutzer
Die Gruppe 3AM gilt als Nachfolger von BlackSuit beziehungsweise Royal Ransomware und steht nach Einschätzung von Sophos in direkter Verbindung zu früheren Mitgliedern der bekannten Conti– und BlackBasta-Gruppierungen. Die eingesetzte Backdoor QDoor wurde bereits im September 2024 als Angriffswerkzeug von 3AM identifiziert – und ist nun integraler Bestandteil der neuen Taktik.
Ein bekanntes Drehbuch – mit neuem Twist
Der Angriff auf das betroffene Unternehmen reiht sich ein in eine Serie von Angriffen, die auf eine im Mai 2024 von Microsoft dokumentierte Technik zurückgehen: E-Mail-Bombing, gefolgt von Voice-Phishing über Microsoft Teams. Sophos dokumentierte zwischen November 2024 und Januar 2025 bereits über 55 Angriffsversuche mit dieser Methode – nun erweitert um die Komponente der virtuellen Tarnmaschine.
Tarnkappe aus Code – und ein Weckruf für die IT-Sicherheit
Der Einsatz virtueller Maschinen als unsichtbarer Angriffsraum markiert eine neue Eskalationsstufe im Bereich der Ransomware-Taktiken. Die Kombination aus psychologischer Manipulation und technischer Raffinesse stellt Unternehmen vor neue Herausforderungen. Wer jetzt nicht handelt, riskiert, dass auch sein Netzwerk bald unter der Tarnkappe einer VM verschwindet.
Technische Details und Indikatoren für Kompromittierung (IOCs) hat Sophos auf GitHub veröffentlicht. Der vollständige Untersuchungsbericht findet sich im Blogbeitrag A familiar playbook with a twist.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
