Zurück zur Startseite

Ransomware-Angreifer verstecken Angriffe via QEMU: So schützen Sie sich

Der Artikel analysiert eine neue Ransomware-Technik, die QEMU-VMs nutzt, um bösartige Aktivitäten zu verbergen. Er untersucht Payouts-King-Kampagnen und Angriffe über die CitrixBleed-2-Sicherheitslücke und gibt Empfehlungen zur Erkennung und zum Schutz.

Ransomware versteckt sich in virtuellen Maschinen: Neue QEMU-Bedrohung
Advertisement 728x90

Ransomware-Gruppen tarnen schädliche Aktivitäten mit QEMU-basierten virtuellen Maschinen

Ransomware-Gruppen nutzen zunehmend Virtualisierung, um ihre Aktionen vor Sicherheitssystemen zu verbergen. Die Betreiber der Payouts King Ransomware und anderer Cyberkrimineller setzen versteckte virtuelle Maschinen auf kompromittierten Hosts ein, um Antiviren- und EDR-Lösungen zu umgehen.

Wie der QEMU-Angriff funktioniert

Angreifer injizieren den Open-Source-Hypervisor QEMU in das Zielsystem. Innerhalb der virtuellen Maschine läuft ein leichtgewichtiges Betriebssystem wie Alpine Linux, das keine Spuren auf dem Host hinterlässt. Alle schädlichen Tools, einschließlich Fernzugriff, Datendiebstahl und Aufklärungsprogramme, arbeiten in dieser isolierten Umgebung und bleiben für die Überwachungstools des Host-Betriebssystems unsichtbar.

Dieser Ansatz bietet Angreifern mehrere Vorteile:

Google AdInline article slot
  • Schädliche Dateien werden nicht vom Host-Antivirus gescannt.
  • Netzwerkverbindungen, die von der VM ausgehen, erscheinen als legitimer QEMU-Traffic.
  • Alle Tools können innerhalb der VM ohne Entdeckungsrisiko ausgeführt werden.

Zwei Kampagnen: Payouts King und Angriffe über Citrix-Schwachstellen

Sophos-Forscher dokumentierten zwei Vorfälle, bei denen diese Technik eingesetzt wurde. Im ersten Fall (STAC4713) nutzte die Gruppe GOLD ENCOUNTER, die mit der Payouts King Ransomware in Verbindung steht, QEMU für Netzwerkpersistenz. Der zweite Fall (STAC3725) basierte auf der Ausnutzung der CitrixBleed 2 Schwachstelle (CVE-2025-5777) in NetScaler-Geräten.

Kampagne STAC4713: Payouts King

Die Betreiber erstellten eine geplante Aufgabe namens TPMProfiler, die QEMU mit SYSTEM-Rechten startete. Virtuelle Festplatten wurden als Datenbankdateien oder DLLs getarnt. Innerhalb der VM lief Alpine Linux mit vorinstallierten Tools:

  • AdaptixC2 — zur Verwaltung des Befehls- und Steuerkanals.
  • Chisel — zum Proxying von Traffic.
  • BusyBox — zur Ausführung von Systembefehlen.
  • Rclone — für Datendiebstahl.

Der erste Zugriff erfolgte über Schwachstellen in SonicWall VPN oder SolarWinds Web Help Desk (CVE-2025-26399). Nach dem Eindringen extrahierten die Angreifer Anmeldeinformationen aus Active Directory mithilfe von Volume Shadow Copy (VSS) und dem Kopieren von NTDS.dit-, SAM- und SYSTEM-Dateien.

Google AdInline article slot

Kampagne STAC3725: Angriffe über CitrixBleed 2

Bei diesem Angriff nutzten die Angreifer eine Schwachstelle in NetScaler aus, installierten dann ScreenConnect für den Fernzugriff und setzten QEMU mit Alpine Linux ein. Im Gegensatz zur ersten Kampagne wurden die Tools manuell innerhalb der VM zusammengestellt. Dazu gehörten:

  • Impacket — für die Arbeit mit Windows-Netzwerkprotokollen.
  • KrbRelayx — für Kerberos-Angriffe.
  • BloodHound.py — für die Active-Directory-Analyse.
  • Metasploit — für die Post-Exploitation.

Das Ziel war der Diebstahl von Anmeldeinformationen, die Domänenaufklärung und die Vorbereitung der Datenexfiltration über FTP.

Wichtige Erkenntnisse

  • Die Verwendung von QEMU ermöglicht es Ransomware, die meisten Host-Sicherheitsmaßnahmen zu umgehen.
  • Payouts King ist wahrscheinlich mit ehemaligen BlackBasta-Mitgliedern verbunden, wie ähnliche Social-Engineering-Methoden belegen.
  • Die Ransomware verwendet AES-256 für Daten und RSA-4096 für Schlüssel sowie intermittierende Verschlüsselung für Geschwindigkeit.
  • Unternehmen wird empfohlen, auf unbefugte QEMU-Installationen, verdächtige SYSTEM-Level-Aufgaben und ungewöhnliche SSH-Tunnel zu achten.

Kontext und Auswirkungen

Der Trend zur Nutzung von Virtualisierung bei Angriffen nimmt zu. Zuvor wurden ähnliche Methoden von den Gruppen 3AM, LoudMiner und in der Phishing-Kampagne CRON#TRAP eingesetzt. Um sich gegen solche Bedrohungen zu schützen, sollten Unternehmen Hypervisor-Überwachung implementieren, Software-Installationsrechte einschränken und Verhaltensanalyse nutzen.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Weiterlesen