Ransomware

3AM-Ransomware: Sophos warnt vor neuer Angriffstaktik mit virtuellen Maschinen

, Sophos | Autor: Herbert Wieler

3AM-Ransomware: Sophos warnt vor neuer Angriffstaktik mit virtuellen Maschinen

Angreifer täuschen echten IT-Support vor und verstecken sich in virtueller Maschine

Das Threat-Intelligence-Team von Sophos X-Ops hat eine neue Angriffsmethode der Ransomware-Gruppe 3AM untersucht – und die hat es in sich: Die Cyberkriminellen kombinieren klassische Social-Engineering-Tricks wie Vishing (Telefonbetrug) und E-Mail-Bombing mit einem technischen Kniff – dem Einsatz einer versteckten virtuellen Maschine (VM), um sich unbemerkt im Netzwerk eines Unternehmens einzunisten.

So lief der Angriff ab: Täuschung per Telefon – Zugriff per Quick Assist

Im ersten Quartal 2025 wurde ein Unternehmen Opfer eines 3AM-Angriffs, den Sophos X-Ops detailliert in seinem Bericht „A familiar playbook with a twist“ dokumentiert hat. Zunächst setzten die Angreifer das betroffene Unternehmen gezielt unter Druck: Eine Mitarbeiterin wurde mit einer Flut an E-Mails bombardiert – ein gezielter Versuch, sie zu überfordern. Dann folgte ein Anruf, angeblich aus der hauseigenen IT-Abteilung. Die Cyberkriminellen nutzten sogar die echte Telefonnummer der IT, um glaubwürdig zu wirken. In dem Chaos wirkte der Anruf überzeugend – und die Angreifer erhielten über Microsoft Quick Assist Fernzugriff auf den Rechner der betroffenen Person.

Versteckspiel in der virtuellen Maschine: Neun Tage unbemerkt im Netzwerk

Einmal im System, luden die Angreifer eine manipulierte Datei mit einer vorkonfigurierten virtuellen Maschine herunter. Diese wurde mit Hilfe der Software QEMU direkt im Hintergrund gestartet – ganz ohne Installation. Innerhalb der VM lief bereits die Schadsoftware „QDoor“, die eine verschlüsselte Verbindung zu einem entfernten Command-and-Control-Server aufbaute. Das Besondere: Die VM fungierte als versteckter Zugang ins Unternehmensnetzwerk, der von klassischen Sicherheitslösungen wie EDR oder Antivirenprogrammen kaum erkannt wurde.

So konnten sich die Angreifer ganze neun Tage lang unbeobachtet im Netzwerk bewegen, Administratorenkonten übernehmen, neue Benutzerkonten anlegen und sogar professionelle Fernwartungstools wie XEOX einsetzen.

Sicherheitsmaßnahmen greifen – aber nicht überall

Zwar waren im betroffenen Unternehmen fast überall Multifaktor-Authentifizierung (MFA) und moderne Erkennungsmechanismen (EDR) aktiv – sie verhinderten auch einen Großteil der Angriffsversuche. Dennoch gelang es der Gruppe, rund 868 Gigabyte an Daten zu stehlen. Der eigentliche Ransomware-Angriff konnte in letzter Minute durch Sophos CryptoGuard gestoppt werden – ausgelöst wurde er über einen veralteten, nicht abgesicherten Server, der den Angreifern als Einfallstor diente.

Klare Empfehlung: Fernzugriffe strenger regeln

„Die Kombination aus Telefonbetrug und E-Mail-Terror bleibt eine gefährliche Taktik für Ransomware-Banden“, warnt Sean Gallagher, Principal Threat Researcher bei Sophos. „Neu ist jedoch, dass 3AM virtuelle Maschinen einsetzt, um Daten verschlüsselt fernzusteuern – und dabei nahezu unsichtbar zu bleiben. Unternehmen sollten daher genau kontrollieren, wer aus der Ferne auf Systeme zugreifen darf – und den Einsatz von virtuellen Maschinen auf kritischen Geräten unterbinden.“

Hintergrund: 3AM – ein neuer Name, alte Bekannte

Die 3AM-Gruppe wird von Sicherheitsexperten als Nachfolger von Ransomware-Akteuren wie BlackSuit, Royal, Conti und BlackBasta eingeordnet. Bereits im September 2024 fiel sie durch den Einsatz der Backdoor QDoor auf, die nun erneut in mehreren Angriffen entdeckt wurde.

Sophos empfiehlt konkrete Maßnahmen, um sich gegen diese Angriffe zu wappnen:

  • Mitarbeitende schulen: Aufklärung über Social Engineering, Vishing und sichere Fernzugriffsverfahren.
  • Zugriffe absichern: Administratorenkonten regelmäßig überprüfen, MFA durchgängig einsetzen, Rechte nach dem Prinzip „so wenig wie möglich, so viel wie nötig“ vergeben.
  • Skripte und Tools kontrollieren: Nur autorisierte Programme wie QEMU oder PowerShell ausführen lassen – idealerweise durch Richtlinien gesteuert.
  • Netzwerke segmentieren: Fernzugriffe auf bestimmte Bereiche begrenzen, verdächtige Verbindungen blockieren.
  • Registry-Zugriffe einschränken: Nur befugte Anwendungen dürfen sicherheitsrelevante Änderungen vornehmen.

Bekanntes Muster – neue Verpackung

Die Vorgehensweise ist kein Einzelfall: Sophos beobachtet bereits seit Monaten vermehrt Angriffe, bei denen gefälschte IT-Supportanrufe in Kombination mit E-Mail-Bombing zum Einsatz kommen. Die Masche erinnert stark an die bereits im Mai 2024 von Microsoft dokumentierten Methoden der Gruppe Storm-1811. Zwischen November 2024 und Januar 2025 zählte Sophos mehr als 15 Angriffe mit diesem Schema – in über 55 Fällen fanden sich Hinweise auf versuchte Kompromittierungen.

Technische Details und IOCs

Alle bekannten Indikatoren für eine Kompromittierung (IOCs) aus dem aktuellen Fall stellt Sophos über GitHub bereit. Eine ausführliche Analyse gibt es außerdem im Sophos Blog: A familiar playbook with a twist .