NERDMANRansomware versteckt sich in virtuellen Maschinen
Eine neue Ransomware-Gruppe namens „Payouts King" nutzt den Open-Source-Emulator QEMU, um unsichtbare virtuelle Maschinen auf gehackten Systemen zu starten. Die Endpoint-Security? Schaut komplett daneben.
So funktioniert der Trick
Die Angreifer missbrauchen QEMU nicht zum Emulieren — sondern als Hintertür. Sie starten eine Mini-VM auf dem Rechner des Opfers und tunneln sich per Reverse-SSH zurück nach Hause. Für die Sicherheitssoftware sieht das aus wie ein legitimer Prozess. Kein Alarm, kein Scan, kein Schutz.
💡 Was das bedeutet
Endpoint-Security-Tools überwachen Prozesse, Dateien und Netzwerkverkehr auf dem Host. Wenn der Angriff aber innerhalb einer versteckten VM läuft, ist er für diese Tools praktisch unsichtbar. Das ist, als würde ein Einbrecher im Haus ein zweites, unsichtbares Haus bauen — und von dort aus die Safes knacken.
Warum das keine KI braucht
Klare Ansage: Hier ist keine künstliche Intelligenz im Spiel. Kein LLM schreibt die Malware, kein Agent steuert den Angriff. Das ist klassisches Cybercrime-Handwerk — aber mit einer Methode, die verdammt clever ist.
- Tool:** QEMU (legaler Open-Source-Emulator)
- Methode:** Reverse-SSH-Tunnel über versteckte VM
- Ziel:** Endpoint-Security komplett umgehen
- Gefahr:** Traditionelle Antivirus-Lösungen erkennen nichts
✅ Pro
- Technisch elegant — nutzt legitime Software
- Schwer zu erkennen für Standard-Tools
Con (für die Angreifer)
- QEMU-Installation hinterlässt Spuren
- Netzwerk-Monitoring kann den Tunnel aufdecken
- Braucht initialen Zugang zum System
Was Admins jetzt tun sollten
Wer QEMU nicht bewusst einsetzt, sollte die Installation auf Endgeräten blockieren. Netzwerk-Teams sollten auf ungewöhnliche SSH-Verbindungen achten. Und wer sich nur auf Endpoint-Security verlässt, hat ab heute ein Problem mehr.
