Thought Leadership
Im ersten Quartal 2025 wurde ein Unternehmen Opfer eines ausgeklügelten Ransomware-Angriffs, hinter dem die Cybercrime-Gruppe 3AM steckte.
Die Sicherheitsforscher von Sophos X-Ops analysierten den Vorfall und deckten dabei eine Kombination altbewährter und neuer Angriffsmethoden auf – mit einer besonders perfiden Neuerung: einer versteckten virtuellen Maschine, die den Zugriff auf das Netzwerk nahezu unsichtbar ermöglichte.
Zunächst setzten die Angreifer auf klassische Social-Engineering-Methoden: Ein Mitarbeitender wurde durch eine Flut von Spam-Mails – sogenanntes E-Mail-Bombing – überfordert. Inmitten dieses Chaos kontaktierten ihn die Täter telefonisch. Dabei nutzten sie die echte Nummer der internen IT-Abteilung, um ihre Identität glaubhaft zu fälschen. Unter dem Vorwand, Unterstützung zu leisten, überredeten sie das Opfer, ihnen über Microsoft Quick Assist Fernzugriff auf den Rechner zu gewähren.
Nach dem erfolgreichen Zugriff installierten die Angreifer eine manipulierte Archivdatei, die eine virtuelle Maschine enthielt. Ohne klassische Installation startete diese mithilfe der Open-Source-Software QEMU direkt im Hintergrund. Innerhalb der VM lief bereits die Backdoor QDoor, die verschlüsselte Kommunikation mit einem externen Kontrollserver ermöglichte.
Diese Methode ermöglichte es den Tätern, sich neun Tage unentdeckt im Netzwerk zu bewegen – weitgehend unsichtbar für gängige Schutzlösungen wie Endpoint Detection & Response (EDR). In dieser Zeit kompromittierten sie unter anderem Administratoren-Konten, erstellten neue Benutzerprofile und setzten legitime Remote-Tools wie XEOX ein, um ihre Kontrolle weiter auszubauen.
Technischer Schutz: Nicht unfehlbar
Trotz aktivierter Multifaktor-Authentifizierung und moderner EDR-Lösungen konnten die Angreifer erhebliche Datenmengen abziehen – rund 868 GB. Der finale Ransomware-Angriff wurde nur deshalb verhindert, weil der Versuch, die Schadsoftware (L.exe) auf einem ungeschützten Server auszuführen, von einem Schutzmechanismus (Sophos CryptoGuard) erkannt und gestoppt wurde.
Sicherheitslücken und Empfehlungen
Der Angriff verdeutlicht, wie Cyberkriminelle auf Fernwartungsfunktionen und menschliche Schwächen setzen, um in Netzwerke einzudringen. Laut Sean Gallagher, Sicherheitsexperte bei Sophos, sollten Unternehmen insbesondere den Einsatz virtueller Maschinen und Fernzugriffsmöglichkeiten streng kontrollieren.
Empfohlene Maßnahmen:
- Sensibilisierung der Mitarbeitenden: Schulungen zu Phishing, Vishing und sicherem Fernsupport.
- Strikte Zugangskontrollen: Konsequente Anwendung von MFA, regelmäßige Prüfung von Administratorrechten.
- Softwareeinschränkungen: Kontrollierte Ausführung potenziell riskanter Tools wie QEMU oder PowerShell.
- Netzwerksegmentierung: Eingrenzung und Filterung von Remote-Verbindungen.
- Registry-Absicherung: Begrenzung von Schreibrechten auf sicherheitsrelevante Einträge.
Neue Täter, bekannte Muster
Die Gruppe 3AM scheint in direkter Verbindung zu früheren Akteuren wie BlackSuit oder Royal Ransomware zu stehen und weist Überschneidungen mit den ehemaligen Gruppierungen Conti und BlackBasta auf. Der eingesetzte Trojaner QDoor wurde bereits im September 2024 erstmals dokumentiert und in mehreren Angriffswellen verwendet.
Die von Sophos identifizierten Muster erinnern an Methoden, die Microsoft bereits 2024 der Gruppe Storm-1811 zuschrieb: E-Mail-Bombing zur Ablenkung, gefolgt von fingierten Supportanrufen, um Fernzugang zu erlangen. Zwischen Ende 2024 und Anfang 2025 wurden weltweit über 55 Angriffsversuche mit dieser Vorgehensweise festgestellt.
Die Angriffe zeigen, dass technologische Schutzmaßnahmen allein nicht ausreichen. Angreifer kombinieren psychologische Manipulation mit technischen Finessen – und finden oft dort Einfallstore, wo menschliche Schwächen auf systemische Lücken treffen. Unternehmen sind gut beraten, ihre Sicherheitskonzepte regelmäßig zu überarbeiten und besonders im Bereich der Fernzugriffsregelung und Mitarbeitersensibilisierung nachzurüsten.
