Sophos X-Ops hat eine Ransomware-Angriffswelle analysiert, bei der die Cybercrime-Gruppe „3AM“ bewährte Social-Engineering-Methoden sowie die Nutzung legitimer Fernwartungstools mit einer technischen Neuerung kombiniert: Den Einsatz einer versteckten virtuellen Maschine, um verdeckt Zugriff auf das Unternehmensnetzwerk zu erlangen – unter Umgehung klassischer Endpunktschutzlösungen. Im ersten Quartal 2025 betreute das Sophos X-Ops-Crew ein Unternehmen, das einen solchen Angriff durch 3AM zu verzeichnen hatte und dokumentierte die Abläufe im Report A well-known playbook with a twist.
Täuschung am Telefon: Falscher Anruf aus der IT-Abteilung
Ziel des Angriffs battle es, Verwirrung zu stiften und Vertrauen zu erschleichen, um über Microsoft Fast Help Zugriff auf IT-Systeme des Unternehmens zu erhalten. Die Täter bombardierten dafür ein ausgewähltes Unternehmensmitglied zunächst mit einer Flut unerwünschter E-Mails („E mail Bombing”). Anschließend riefen sie ihr Opfer unter dem Vorwand der Hilfestellung an. Um die Täuschung so echt wie möglich zu machen, wurde hierfür die zuvor ausgespähte tatsächliche Telefonnummer der IT-Abteilung verwendet. Und der Bluff gelang: der völlig überforderte Mitarbeitende gewährte den falschen IT-lern per Fast Help Fernzugriff auf seinen Pc.
Virtuelle Maschine als Tarnkappe – neun Tage unter dem Radar
Einmal verbunden luden die Cyberkriminellen ein manipuliertes Archiv herunter, das eine virtuelle Maschine (VM) enthielt. Diese wurde mithilfe der Open-Supply-Software program QEMU gestartet und – entscheidend für die Tarnung – ohne Set up direkt im Hintergrund ausgeführt. Innerhalb der virtuellen Maschine battle bereits die Backdoor „QDoor” eingerichtet, die eine verschlüsselte Verbindung zu einem Command-and-Management-Server im Ausland aufbaut. Die VM agiert dabei als versteckter Einstiegspunkt ins Netzwerk und umgeht klassische Endpoint-Schutzlösungen. So konnte es den Cyberkriminellen gelingen, sich neun Tage lang weitgehend unsichtbar für gängige Endpoint-Schutzlösungen im Netzwerk zu bewegen. Sie nutzten diese Zeit, um ihren Zugriff auf Systeme auszuweiten und unter anderem Administratoren-Konten zu kompromittieren, neue Benutzer einzurichten und kommerzielle Distant-Administration-Instruments wie XEOX einzusetzen.
MFA und EDR erschweren vieles, aber verhindern nicht alles
Obwohl auf quick allen Geräten des betroffenen Unternehmens Multifaktor-Authentifizierung (MFA) und Endpoint Detection and Response (EDR) aktiviert waren, die viele Schritte der Angreifer vereitelten, gelang es der Gruppe, rund 868 GB Daten zu exfiltrieren und sich bis zu einem späteren (letztlich vereitelten) Ransomware-Angriff vorzuarbeiten. Ein geeignetes Einfallstor hierfür fanden sie in einem nicht verwalteten, ungeschützten Server. Hierauf wurde die Ransomware mit dem Namen L.exe platziert und der eigentliche Ransomware-Angriff gestartet – der dank Sophos CryptoGuard jedoch rechtzeitig gestoppt werden konnte.
Appell an Unternehmen: Fernzugriffe einschränken
„Die Kombination aus Vishing und E-Mail-Bombing bleibt eine äußerst wirkungsvolle Methode für Ransomware-Angreifer. Die 3AM-Gruppe nutzt jetzt zusätzlich virtuelle Maschinen zur Fernverschlüsselung, um unentdeckt zu bleiben. Unternehmen müssen daher den Fernzugriff strikt einschränken und verhindern, dass virtuelle Maschinen auf ungeeigneten Geräten ausgeführt werden,“ betont Sean Gallagher, Principal Menace Researcher bei Sophos.
Verbindung zu bekannten Bedrohungsgruppen
3AM gilt als Nachfolger der BlackSuit/Royal-Ransomware und hat nach Erkenntnissen von Sophos und anderen Sicherheitsexperten Verbindungen zu früheren Mitgliedern der Conti- und BlackBasta-Gruppierungen. Bereits im September 2024 wurde der von 3AM genutzte Backdoor-Trojaner QDoor identifiziert, der in mehreren Angriffskampagnen auftrat.
Sophos rät Unternehmen, folgende Maßnahmen zu ergreifen:
- Mitarbeitende sensibilisieren: Schulungen zu Vishing, typischen Angriffsmustern und sicheren Distant-Assist-Verfahren durchführen.
- Strikte Zugangskontrollen: Administratorkonten regelmäßig prüfen, MFA konsequent einsetzen, Rechte nach dem Prinzip der geringsten Privilegien vergeben.
- Software program- und Skriptkontrolle: Coverage-basierte Ausführungskontrolle implementieren, insbesondere für Instruments wie QEMU oder PowerShell.
- Netzwerksegmentierung und Firewalling: Distant-Zugriffe gezielt einschränken und verdächtige Netzwerkverbindungen filtern.
- Registry-Zugriffe absichern: Schreibrechte auf sicherheitsrelevante Registry-Schlüssel einschränken.
Hintergrund: Bewährtes Angriffsmuster
Sophos hat mehrere Ransomware-Akteure aufgespürt, die ein Angriffsmuster nutzen, das von Microsoft erstmals im Mai 2024 im Zusammenhang mit der als „Storm-1811“ bezeichneten Bedrohungsgruppe gemeldet wurde: Sie nutzen „E-Mail-Bombing“, um Mitarbeitende von Zielunternehmen mit unerwünschten E-Mails zu überlasten. Dann führen sie einen Sprach- oder Videoanruf über Microsoft Groups durch, bei dem sie sich als Mitglieder eines technischen Assist-Groups ausgeben, um Fernzugriff auf Unternehmenscomputer zu erhalten. Zwischen November 2024 und Mitte Januar 2025 dokumentierte Sophos zwei verschiedene Bedrohungscluster, die diese Techniken in über 15 Vorfällen einsetzen. Bei weiteren Nachforschungen wurden über 55 Angriffsversuche mit dieser Technik festgestellt.
Indikatoren für Kompromittierung (IOCs) aus diesem Angriff werden auf dem Sophos GitHub veröffentlicht.
Alle technischen Particulars zu diesem E-Mail-Bombing-Fall gibt es ausführlich im Sophos Weblog nachzulesen: A well-known playbook with a twist.
