Ransomware-Angriffe via virtuelle Maschinen immer beliebter

29. Juni 2021 um 15:05
  • security
  • breach
  • symantec
  • blackfog
image

VM-Attacken sind häufiger und werden von den berüchtigsten Banden ausgeführt, wie die "Top 10" der Malwares zeigt.

Soeben war es noch die Avantgarde der schlausten Ransomware-Kriminellen, heute ist es schon fast Mainstream: Die Ausführung von Nutzlast innerhalb virtueller Maschinen auf infizierten Hosts, um die Security zu umgehen.
Die Angriffsmethode habe sich kaum ein Jahr nach ihrer Entdeckung "im cyberkriminellen Untergrund verbreitet und wird nun von mehreren Ransomware-Betreibern verwendet", so die Cyber-Security-Zeitung 'The Record' mit Verweis auf einen Symantec-Report.
Ausgangspunkt der Angriffe sei, dass eine Ransomware-Gang, die auf einem infizierten Host "einen kleinen Fuss in der Tür hat", VM-Software herunterladen und installieren kann, so die Zeitung.
"Die Motivation hinter dieser Taktik ist die Tarnung. Um keinen Verdacht zu erregen oder Antiviren-Software auszulösen, "versteckt" sich die Ransomware-Nutzlast in einer VM, während sie Dateien auf dem Host-Computer verschlüsselt", erläutert Symantec dazu.
Das aktuellste Beispiel erläutert 'Bleeping Computer': Die REvil-Ransomware-Bande verwendet nun einen Linux-Verschlüssler, der auf virtuelle Maschinen mit Vmware ESXi abzielt und diese verschlüsselt. "Indem REvil auf diese Weise auf virtuelle Maschinen abzielt, kann sie viele Server auf einmal mit einem einzigen Befehl verschlüsseln", so die Security-Zeitung.
Als Erfinderin gilt die Ragnar-Locker-Bande, die auch als Pionier der "doppelten Erpressung" gilt, bei welcher Geld für die Entschlüsselung der Daten verlangt wird und zudem gedroht wird, gestohlene vertrauliche Daten zu veröffentlichen.
Die Maze-Bande (Gründer eines Erpresserkartells), Conti (bekanntes, aktuelles Opfer ist die irische Gesundheitsbehörde) und Mount Locker sollen ebenso vorgehen, berichtet Symantec, welche die wachsende Popularität der Methode entdeckte.
Technische Details hält der Security-Anbieter ebenfalls bereit.
Unter den Ransomware-Gangs etablieren sich unterdessen eigentliche Anführer. Zu diesen gehören die erwähnten Conti- und Ragner-Banden, aber auch weitere.
Eine neue Analyse des Sicherheitsanbieters Blackfog zeigt, welche Malware und Banden im bisherigen Jahresverlauf die Top-10-Hitparade prägen. So sollen REvil und Conti ex aequo 13,1% der eingesetzten Malware-Bedrohungen bilden, gefolgt von Darkside (halbwegs lukrativer Hack der US-Pipeline) und Clop mit je 11,5%. Letztere schienen schon besiegt, aber das erwies sich rasch als Trugschluss.
'Techmonitor' hat die restlichen Namen und Ransomware-Marktanteile aufgelistet. 
Sind die Reports verlässlich, so dürfte Ransomware in Kombination mit VM-Attacken in absehbarer Zeit noch mehr Schlagzeilen machen.

Loading

Mehr zum Thema

image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025
image

Report: Deepseek ist anfällig für Manipulationen

Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.

publiziert am 5.2.2025
image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025