Ransomware-Angriffe via virtuelle Maschinen immer beliebter

29. Juni 2021 um 15:05
  • security
  • breach
  • symantec
  • blackfog
image

VM-Attacken sind häufiger und werden von den berüchtigsten Banden ausgeführt, wie die "Top 10" der Malwares zeigt.

Soeben war es noch die Avantgarde der schlausten Ransomware-Kriminellen, heute ist es schon fast Mainstream: Die Ausführung von Nutzlast innerhalb virtueller Maschinen auf infizierten Hosts, um die Security zu umgehen.
Die Angriffsmethode habe sich kaum ein Jahr nach ihrer Entdeckung "im cyberkriminellen Untergrund verbreitet und wird nun von mehreren Ransomware-Betreibern verwendet", so die Cyber-Security-Zeitung 'The Record' mit Verweis auf einen Symantec-Report.
Ausgangspunkt der Angriffe sei, dass eine Ransomware-Gang, die auf einem infizierten Host "einen kleinen Fuss in der Tür hat", VM-Software herunterladen und installieren kann, so die Zeitung.
"Die Motivation hinter dieser Taktik ist die Tarnung. Um keinen Verdacht zu erregen oder Antiviren-Software auszulösen, "versteckt" sich die Ransomware-Nutzlast in einer VM, während sie Dateien auf dem Host-Computer verschlüsselt", erläutert Symantec dazu.
Das aktuellste Beispiel erläutert 'Bleeping Computer': Die REvil-Ransomware-Bande verwendet nun einen Linux-Verschlüssler, der auf virtuelle Maschinen mit Vmware ESXi abzielt und diese verschlüsselt. "Indem REvil auf diese Weise auf virtuelle Maschinen abzielt, kann sie viele Server auf einmal mit einem einzigen Befehl verschlüsseln", so die Security-Zeitung.
Als Erfinderin gilt die Ragnar-Locker-Bande, die auch als Pionier der "doppelten Erpressung" gilt, bei welcher Geld für die Entschlüsselung der Daten verlangt wird und zudem gedroht wird, gestohlene vertrauliche Daten zu veröffentlichen.
Die Maze-Bande (Gründer eines Erpresserkartells), Conti (bekanntes, aktuelles Opfer ist die irische Gesundheitsbehörde) und Mount Locker sollen ebenso vorgehen, berichtet Symantec, welche die wachsende Popularität der Methode entdeckte.
Technische Details hält der Security-Anbieter ebenfalls bereit.
Unter den Ransomware-Gangs etablieren sich unterdessen eigentliche Anführer. Zu diesen gehören die erwähnten Conti- und Ragner-Banden, aber auch weitere.
Eine neue Analyse des Sicherheitsanbieters Blackfog zeigt, welche Malware und Banden im bisherigen Jahresverlauf die Top-10-Hitparade prägen. So sollen REvil und Conti ex aequo 13,1% der eingesetzten Malware-Bedrohungen bilden, gefolgt von Darkside (halbwegs lukrativer Hack der US-Pipeline) und Clop mit je 11,5%. Letztere schienen schon besiegt, aber das erwies sich rasch als Trugschluss.
'Techmonitor' hat die restlichen Namen und Ransomware-Marktanteile aufgelistet. 
Sind die Reports verlässlich, so dürfte Ransomware in Kombination mit VM-Attacken in absehbarer Zeit noch mehr Schlagzeilen machen.

Loading

Mehr erfahren

Mehr zum Thema

image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort­manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024
image

Quellcode von New York Times gestohlen

Im Januar wurden der Zeitung interne Daten aus Github-Repositories gestohlen. Darunter befand sich auch der Quellcode, der jetzt geleakt wurde.

publiziert am 10.6.2024
image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.