Ransomware-Angriffe via virtuelle Maschinen immer beliebter

29. Juni 2021, 15:05
  • security
  • breach
  • symantec
  • blackfog
image

VM-Attacken sind häufiger und werden von den berüchtigsten Banden ausgeführt, wie die "Top 10" der Malwares zeigt.

Soeben war es noch die Avantgarde der schlausten Ransomware-Kriminellen, heute ist es schon fast Mainstream: Die Ausführung von Nutzlast innerhalb virtueller Maschinen auf infizierten Hosts, um die Security zu umgehen.
Die Angriffsmethode habe sich kaum ein Jahr nach ihrer Entdeckung "im cyberkriminellen Untergrund verbreitet und wird nun von mehreren Ransomware-Betreibern verwendet", so die Cyber-Security-Zeitung 'The Record' mit Verweis auf einen Symantec-Report.
Ausgangspunkt der Angriffe sei, dass eine Ransomware-Gang, die auf einem infizierten Host "einen kleinen Fuss in der Tür hat", VM-Software herunterladen und installieren kann, so die Zeitung.
"Die Motivation hinter dieser Taktik ist die Tarnung. Um keinen Verdacht zu erregen oder Antiviren-Software auszulösen, "versteckt" sich die Ransomware-Nutzlast in einer VM, während sie Dateien auf dem Host-Computer verschlüsselt", erläutert Symantec dazu.
Das aktuellste Beispiel erläutert 'Bleeping Computer': Die REvil-Ransomware-Bande verwendet nun einen Linux-Verschlüssler, der auf virtuelle Maschinen mit Vmware ESXi abzielt und diese verschlüsselt. "Indem REvil auf diese Weise auf virtuelle Maschinen abzielt, kann sie viele Server auf einmal mit einem einzigen Befehl verschlüsseln", so die Security-Zeitung.
Als Erfinderin gilt die Ragnar-Locker-Bande, die auch als Pionier der "doppelten Erpressung" gilt, bei welcher Geld für die Entschlüsselung der Daten verlangt wird und zudem gedroht wird, gestohlene vertrauliche Daten zu veröffentlichen.
Die Maze-Bande (Gründer eines Erpresserkartells), Conti (bekanntes, aktuelles Opfer ist die irische Gesundheitsbehörde) und Mount Locker sollen ebenso vorgehen, berichtet Symantec, welche die wachsende Popularität der Methode entdeckte.
Technische Details hält der Security-Anbieter ebenfalls bereit.
Unter den Ransomware-Gangs etablieren sich unterdessen eigentliche Anführer. Zu diesen gehören die erwähnten Conti- und Ragner-Banden, aber auch weitere.
Eine neue Analyse des Sicherheitsanbieters Blackfog zeigt, welche Malware und Banden im bisherigen Jahresverlauf die Top-10-Hitparade prägen. So sollen REvil und Conti ex aequo 13,1% der eingesetzten Malware-Bedrohungen bilden, gefolgt von Darkside (halbwegs lukrativer Hack der US-Pipeline) und Clop mit je 11,5%. Letztere schienen schon besiegt, aber das erwies sich rasch als Trugschluss.
'Techmonitor' hat die restlichen Namen und Ransomware-Marktanteile aufgelistet. 
Sind die Reports verlässlich, so dürfte Ransomware in Kombination mit VM-Attacken in absehbarer Zeit noch mehr Schlagzeilen machen.

Loading

Mehr zum Thema

image

Zwischen Black-Hat- und White-Hat-Hacking gibt es kaum Unterschiede

Kevin Mitnick sass wegen Hacking 5 Jahre im Gefängnis und wechselte anschliessend die Seiten. Im Interview spricht er über seinen Wechsel zum Pentester und gibt Tipps.

publiziert am 5.7.2022
image

Mehrere Hacker wollen Lösegeld von Fachhochschule in Neuchâtel

Die Generaldirektorin der Haute Ecole Arc hält die Forderungen für wenig seriös. Die Ursache und das Ausmass des gestrigen Angriffs sind weiterhin unklar.

publiziert am 5.7.2022
image

Daten von über einer Milliarde Menschen im Darknet angeboten

Wahrscheinlich handelt es sich bei den Daten, die unter anderem Angaben zu Straftaten enthalten, um Informationen über chinesische Staatsbürger.

publiziert am 5.7.2022
image

Schon wieder Cyberangriff auf Hochschule in Neuenburg

Nach der Universität hat es diesmal die Fachhochschule Neuenburg getroffen. Alle Server wurden heruntergefahren.

publiziert am 4.7.2022