Neues Trendziel für Ransomware-Attacken: Hypervisoren im Visier

Eine der größten Aufgaben für Cybersicherheitsverantwortliche ist es, mit den stets neuen Angriffstaktiken schrittzuhalten. Zu diesen zählen aktuelle Ransomware-Attacken, die Endpunkte ignorieren und direkt auf die Infrastruktur auf Hypervisor-Ebene abzielen.

Da die meisten modernen Infrastrukturen mittlerweile virtualisiert sind, kann ein Angreifer über diesen Vektor die gesamte IT des Unternehmens effektiv lahmlegen.

Angriffe auf einen Hypervisor unterscheiden sich vom klassischen Ransomware-Angriff auf einen Endpunkt wesentlich im Umfang und durch ihr technisches Vorgehen. Eine traditionelle Ransomware-Kampagne kann viele Endpunkte ins Visier nehmen und fokussiert sich darauf, Daten zu verschlüsseln. So bleibt das Betriebssystem des Rechners funktionsfähig, aber die Informationen sind nicht mehr zugänglich. Im Gegensatz dazu ist ein Angriff auf einen Hypervisor ein Angriff auf die zentrale IT-Administration. Cyberkriminelle wollen die virtuellen Festplattendateien der darauf gehosteten virtuellen Maschinen verschlüsseln. Dadurch starten die virtuellen Maschinen nicht mehr, wodurch effektiv und auf einem Schlag ganze Applikationen, Server und Dienste lahmgelegt sind. Weg von der Datengeiselnahme auf einzelnen Maschinen hin zum vollständigen Lahmlegen der gesamten IT-Infrastruktur – das ist ein grundlegend neuer Ansatz.

Mehrere Ransomware-as-a-Service-Gruppen wie zum Beispiel Cactus, LockBit, RansomHouse oder Scattered Spider nehmen daher Hypervisoren ins Visier. Diese kritischen Komponenten anzugreifen, ist für viele der raffiniertesten Ransomware-Aktionen zu einer gängigen Strategie geworden, da sie für Cyberkriminelle eine Reihe von Vorteilen bietet:

• Effiziente Angriffe durch OS-unabhängige Programmiersprachen: Durch das Schreiben eines einzigen Golang- oder Rust-basierten wirksamen Codes kann ein Angreifer ein Tool erstellen, das sowohl für Systeme mit Linux-basierten VMware ESXi als auch auf herkömmlichen Windows- oder Linux-Servern wirksam ist. Diese Effizienz ermöglicht es Cyberkriminellen, ihre Operationen zu skalieren und deren Reichweite mit minimalem zusätzlichen Aufwand auf verschiedene Umgebungen auszuweiten.
• Diskreter Druck statt Aufmerksamkeit erregendes Chaos: Wenn Angreifer Hypervisoren ins Visier nehmen, können sie die Kerninfrastruktur verschlüsseln, während Endbenutzergeräte und Front-End-Geschäftsabläufe weitgehend unberührt bleiben. Diese Strategie reduziert vor allem den öffentlichen und medialen Druck auf das Opferunternehmen und macht es für Ransomware-Gruppen leichter, die Aufmerksamkeit von Strafverfolgungsbehörden zu vermeiden. Da weitreichende Ausfälle in IT und Geschäftsprozessen zunächst ausfallen, können Cyberkriminelle und Opfer diskreter und ohne Druck verhandeln. Die Betroffenen erhalten eine scheinbar wirksame Alternative zum öffentlichen Eingeständnis eines Angriffs und die Bereitschaft, Lösegelder zu zahlen, steigt.
• Höhere Wiederherstellungsrate als vertrauensbildende Maßnahme: Auch Cyberkriminelle benötigen ein gewisses Grundvertrauen von Seiten ihrer Opfer in die Bereitschaft und Fähigkeit, die Verschlüsselung aufzuheben. Auch Kriminelle sind sich dessen bewusst. Bei Angriffen auf virtuelle Maschinen fällt es ihnen nun leichter, ihre Versprechen einzuhalten. Denn sie können verschlüsselte virtuelle Maschinen mit größerer Wahrscheinlichkeit erfolgreich wiederherstellen als Endpunkte. Der Grund: Bei einem Hypervisor-Angriff schaltet der Angreifer zunächst alle aktiven virtuellen Maschinen aus. Dieser Vorgang stellt sicher, dass alle Dateien geschlossen sind und kein Prozess sie aktiv verwendet. Das verhindert, dass geöffnete Dateien das Verschlüsselungstool blockieren. Das bedeutet zugleich, dass das bereitgestellte Entschlüsselungstool mit größerer Wahrscheinlichkeit einwandfrei funktioniert.
• Lücken in der Kontrolle: IT-Management-Teams konzentrieren sich häufig eher auf betriebliche Effizienz und Stabilität als auf strenge Sicherheitskontrollen. Dies kann zu kritischen Sicherheitslücken führen, wie etwa dem Fehlen einer Multi-Faktor-Authentifikation (MFA) für den Zugriff auf die Schnittstellen zur Administration der Hypervisoren oder auf nicht gepatchte Schwachstellen, die in einer ausgereifteren Endpunktumgebung sofort erkannt würden.
  Viele Hypervisoren unterstützen zudem EDR/XDR-Agenten direkt auf dem Host nicht offiziell. Stattdessen empfehlen die Anbieter oft den traditionellen und ineffektiven Ansatz, diese Sicherheitstools innerhalb jeder virtuellen Maschine auszuführen. Da diese VMs bei der Verschlüsselung heruntergefahren werden, werden ihre Sicherheitsstacks irrelevant.
• Gezielter Druck auf die IT-Teams: Im Gegensatz zu einem großflächigen Angriff, der Tausende von Mitarbeitern und Abteilungen betreffen kann, konzentriert sich die ganze Aktivität der Erpresser bei einem Hypervisor-Angriff auf ein einziges isoliertes Team: die IT- und Systemadministratoren. Diese haben die Aufgabe, die unmittelbare Krise zu bewältigen, sich um die technischen Folgen zu kümmern und oft auch die Lösegelder auszuhandeln. Ein solches fokussiertes Vorgehen kann die betroffene Organisation williger machen, geforderte Beträge zu bezahlen. Die einzelnen Geschäftsbereiche und das C-Level verstärken diesen Druck, weil sie schnellstmöglich den Geschäftsbetrieb wiederherstellen wollen.

Wie man sich vor Ransomware-Attacken auf Hypervisor-Ebene schützt

Die grundlegendste Abwehrmaßnahme besteht darin, Hypervisoren und deren Administrationssoftware auf dem neuesten Stand zu halten. Unternehmen benötigen ein robustes Patch-Management-Programm, das Schwachstellen auf Hypervisor-Ebene priorisiert.

Eine Multi-Faktor-Authentifikation sollte für alle Nutzer mit Administrationsrechten Standard sein, insbesondere für die Konsolen zum Verwalten der Hypervisoren.

Das Prinzip der geringsten Privilegien sollte strikt gelten, um sicherzustellen, dass kein Benutzer oder Dienst mehr Rechte hat, als er für seine Aufgaben benötigt.

Security-Teams müssen außerdem das Host-Betriebssystem absichern, indem sie unnötige Dienste wie OpenSLP deaktivieren und den Zugriff aus dem Netz auf administrative Schnittstellen mit Firewall-Regeln einschränken oder dedizierte Netze zur Administration einrichten.

EDR- und XDR-Plattformen bieten die erforderlichen Detection- und Response-Funktionen, wirken jedoch nur in der Kombination mit menschlicher Expertise – entweder durch ein internes SOC oder einen externen MDR-Anbieter.

Die Wiederherstellungsstrategie ist zudem eine wichtige und oft letzte Reißleine, um die Blockade der IT im nie auszuschließenden Ernstfall aufzuheben. Empfohlener Standard für Ransomware-Resilienz ist die 3-2-1-1-0-Backup-Regel: Drei Kopien der Daten auf zwei Medientypen mit einer Kopie außerhalb des Standorts und einer Kopie, die unveränderlich (oder air-gapped) ist: Angreifer können sie nicht verschlüsseln oder löschen. Die 0 steht für Zero Recovery Surprises: Backups sind regelmäßig auf ihre Funktionsfähigkeit zu testen.

Unternehmen müssen außerdem über einen spezifischen, gut eingeübten Notfallplan für Hypervisor-Angriffe verfügen. Dieser Plan sollte klare Schritte zur Eindämmung des Angriffs enthalten, wie etwa das physische Abtrennen infizierter Hosts, um zu verhindern, dass Hacker die Malware weiter ausbreiten. Ebenso wichtig ist auch ein Kommunikationsplan für alle Beteiligten, von Mitarbeitern bis hin zu Stakeholdern.