Sicherheitsforscher von Sophos haben eine besorgniserregende neue Angriffskampagne der 3AM Ransomware-Gruppe aufgedeckt. Die Cyberkriminellen setzen dabei auf eine hochentwickelte Kombination aus massenhaftem Phishing und gezieltem Social Engineering, einschließlich gefälschter Support-Anrufe. Diese Entwicklung markiert eine signifikante Evolution in der Ransomware-Landschaft.
Dramatischer Anstieg sophistizierter Hybrid-Attacken
Im Zeitraum von November 2024 bis Januar 2025 wurden über 55 Sicherheitsvorfälle dokumentiert, die diese neue Angriffsmethodik aufweisen. Diese Taktik, die ursprünglich von Black Basta und FIN7 entwickelt wurde, wird nun auch von der 3AM-Gruppe erfolgreich adaptiert und weiterentwickelt.
Anatomie eines modernen Ransomware-Angriffs
Eine detaillierte Analyse eines neuntägigen Angriffs aus dem ersten Quartal 2025 offenbart die komplexe Vorgehensweise der Täter. Die Attacke begann mit Vishing-Anrufen (Voice Phishing) unter Verwendung gefälschter IT-Support-Nummern, gefolgt von einer koordinierten E-Mail-Kampagne mit 24 Malware-infizierten Nachrichten innerhalb von nur drei Minuten.
Technische Infrastruktur und Angriffsvektoren
Nach erfolgreicher Infiltration über Microsoft Quick Assist implementierten die Angreifer eine ausgeklügelte Infrastruktur. Diese umfasste VBS-Skripte, QEMU-Virtualisierung und ein präpariertes Windows 7-System mit QDoor-Backdoor. Die Verwendung von QEMU ermöglichte es den Angreifern, ihren schädlichen Datenverkehr durch virtuelle Maschinen zu verschleiern.
Umfang der Kompromittierung und Schadensbegrenzung
Trotz erfolgreicher Abwehr der Verschlüsselungsversuche gelang es den Angreifern, 868 GB sensible Daten über Backblaze mittels GoodSync zu exfiltrieren. Dank schneller Reaktion der Sicherheitssysteme konnte die Verschlüsselung auf einen einzelnen Host begrenzt werden.
Präventive Sicherheitsmaßnahmen
Zur Prävention solcher Angriffe empfehlen Experten einen mehrschichtigen Sicherheitsansatz:
– Regelmäßige Überprüfung privilegierter Zugänge
– Implementation von XDR-Lösungen
– Strikte PowerShell-Ausführungsrichtlinien
– Kontinuierliche Aktualisierung der IoC-Datenbanken
Die zunehmende Komplexität von Ransomware-Angriffen erfordert eine kontinuierliche Anpassung der Sicherheitsstrategien. Besonders wichtig sind dabei regelmäßige Mitarbeiterschulungen im Bereich Social Engineering-Abwehr sowie die Implementation mehrschichtiger Sicherheitssysteme. Organisationen müssen ihre Cybersicherheits-Infrastruktur ständig evaluieren und aktualisieren, um gegen diese evolvierende Bedrohungslandschaft gewappnet zu sein.