Soeben war es noch die Avantgarde der schlausten Ransomware-Kriminellen, heute ist es schon fast Mainstream: Die Ausführung von Nutzlast innerhalb virtueller Maschinen auf infizierten Hosts, um die Security zu umgehen.

Die Angriffsmethode habe sich kaum ein Jahr nach ihrer Entdeckung "im cyberkriminellen Untergrund verbreitet und wird nun von mehreren Ransomware-Betreibern verwendet", so die Cyber-Security-Zeitung 'The Record' mit Verweis auf einen Symantec-Report.

Ausgangspunkt der Angriffe sei, dass eine Ransomware-Gang, die auf einem infizierten Host "einen kleinen Fuss in der Tür hat", VM-Software herunterladen und installieren kann, so die Zeitung.

"Die Motivation hinter dieser Taktik ist die Tarnung. Um keinen Verdacht zu erregen oder Antiviren-Software auszulösen, "versteckt" sich die Ransomware-Nutzlast in einer VM, während sie Dateien auf dem Host-Computer verschlüsselt", erläutert Symantec dazu.

Das aktuellste Beispiel erläutert 'Bleeping Computer': Die REvil-Ransomware-Bande verwendet nun einen Linux-Verschlüssler, der auf virtuelle Maschinen mit Vmware ESXi abzielt und diese verschlüsselt. "Indem REvil auf diese Weise auf virtuelle Maschinen abzielt, kann sie viele Server auf einmal mit einem einzigen Befehl verschlüsseln", so die Security-Zeitung.

Als Erfinderin gilt die Ragnar-Locker-Bande, die auch als Pionier der "doppelten Erpressung" gilt, bei welcher Geld für die Entschlüsselung der Daten verlangt wird und zudem gedroht wird, gestohlene vertrauliche Daten zu veröffentlichen.

Die Maze-Bande (Gründer eines Erpresserkartells), Conti (bekanntes, aktuelles Opfer ist die irische Gesundheitsbehörde) und Mount Locker sollen ebenso vorgehen, berichtet Symantec, welche die wachsende Popularität der Methode entdeckte.

Technische Details hält der Security-Anbieter ebenfalls bereit.

Unter den Ransomware-Gangs etablieren sich unterdessen eigentliche Anführer. Zu diesen gehören die erwähnten Conti- und Ragner-Banden, aber auch weitere.

Eine neue Analyse des Sicherheitsanbieters Blackfog zeigt, welche Malware und Banden im bisherigen Jahresverlauf die Top-10-Hitparade prägen. So sollen REvil und Conti ex aequo 13,1% der eingesetzten Malware-Bedrohungen bilden, gefolgt von Darkside (halbwegs lukrativer Hack der US-Pipeline) und Clop mit je 11,5%. Letztere schienen schon besiegt, aber das erwies sich rasch als Trugschluss.

'Techmonitor' hat die restlichen Namen und Ransomware-Marktanteile aufgelistet. 

Sind die Reports verlässlich, so dürfte Ransomware in Kombination mit VM-Attacken in absehbarer Zeit noch mehr Schlagzeilen machen.