NERDMANHacker verstecken Ransomware in virtuellen Maschinen
Cyberkriminelle nutzen den Open-Source-Emulator QEMU, um komplette Angriffsoperationen vor Sicherheitssoftware zu verstecken. Die Methode ist simpel — und genau deshalb so gefährlich.
So funktioniert der Trick
Die Hackergruppe GOLD ENCOUNTER startet eine virtuelle Maschine direkt auf dem Rechner des Opfers. Innerhalb dieser VM läuft die eigentliche Ransomware. Für die Antivirensoftware auf dem Host-System sieht das Ganze aus wie ein normaler QEMU-Prozess — ein legitimes Tool.
💡 Was das bedeutet
Klassische Endpoint-Security scannt Dateien und Prozesse auf dem Host. Was innerhalb einer VM passiert, bleibt für die meisten Lösungen unsichtbar. Die Angreifer haben damit einen blinden Fleck in der Verteidigung gefunden, den fast jedes Unternehmen hat.
Warum QEMU?
- Open Source:** Frei verfügbar, kein verdächtiger Download
- Leichtgewichtig:** Braucht keine vollständige Hypervisor-Installation
- Legitim:** Wird von Admins und Entwicklern täglich genutzt
- Unauffällig:** Sicherheitstools whitelisten QEMU häufig automatisch
Die harte Wahrheit
- 0** — spezielle Exploits nötig. QEMU wird nicht gehackt, sondern benutzt wie vorgesehen
- 100%** — der Ransomware-Aktivität findet innerhalb der VM statt, außerhalb der Sichtweite
- GOLD ENCOUNTER** — die Gruppe hinter der Methode, kein Newcomer in der Szene
Pro (aus Angreifer-Sicht)
- Umgeht signaturbasierte Erkennung komplett
- Nutzt vertrauenswürdige Software als Tarnung
- Funktioniert auf Windows und Linux
Con (für Verteidiger)
- Schwer erkennbar mit klassischen Tools
- Virtualisierung auf Endpoints pauschal zu blocken ist unrealistisch
- Verhaltensanalyse muss komplett neu gedacht werden
Was Unternehmen jetzt tun müssen
Wer QEMU nicht aktiv im Einsatz hat, sollte die Ausführung auf Endpoints blockieren. Wer es braucht, muss den Netzwerkverkehr der VMs überwachen. Blindes Whitelisting von Virtualisierungstools ist ab sofort fahrlässig.
