In der heutigen digitalen Landschaft sind Unternehmen zunehmend komplexen und gut organisierten Cyberangriffen ausgesetzt. Zu den gefährlichsten Angriffsmethoden gehören Ransomware-Attacken, bei denen Schadsoftware Netzwerke infiltriert, Daten verschlüsselt und Lösegeld fordert. Besonders die Gruppe hinter der 3AM-Ransomware hat in jüngster Zeit durch eine ausgeklügelte Masche auf sich aufmerksam gemacht: Die Täter geben sich als interne IT-Support-Mitarbeiter aus und bombardieren ihre Opfer mit E-Mails sowie Anrufen. So gelingt es ihnen, den Zugriff auf sensible Systeme zu erlangen und große Schäden anzurichten. Die spektakulären Angriffe von 3AM zeigen exemplarisch, wie die Kombination von technischen und sozialen Manipulationstechniken die Sicherheit von Unternehmen massiv gefährdet.
Die Täter senden nicht nur eine Flut von betrügerischen E-Mails, sondern greifen auch auf raffinierte Stimmenphishing-Attacken, sogenannte Vishing-Angriffe, zurück. Dabei erfolgt die Kontaktaufnahme oft über Plattformen wie Microsoft Teams oder herkömmliche Telefonanrufe, bei denen mit gefälschten Rufnummern der Eindruck erweckt wird, der Anrufer gehöre tatsächlich zum IT-Systemmanagement des Unternehmens. Die Opfer werden so dazu gebracht, sogenannte Quick Assist-Sitzungen zuzulassen – eine von Microsoft bereitgestellte Remote-Assistenz-Funktion. Hinter dem scheinbar harmlosen Fernzugang versteckt sich jedoch die Installation von Schadprogrammen, darunter komplexe Backdoors und Emulationstechniken, die den Angreifern eine unbemerkte Netzwerketablierung ermöglichen. In einem dokumentierten Fall eines Großkunden von Sophos dauerte der Angriff über neun Tage an, wobei innerhalb von nur wenigen Minuten dutzende bösartige E-Mails den Posteingang eines einzelnen Mitarbeiters überschwemmten.
Die Kombination aus massivem Mailversand und täuschend echten Anrufen erzeugte enormen Druck und Verwirrung. Dadurch gelang es den Angreifern, Kontrolle über den Rechner zu übernehmen. Die Infiltration wurde durch das Entpacken eines Archivs mit bösartigem VBS-Skript, einem QEMU-Emulator und einer Windows-7-Image-Datei mit installierter Hintertür durchgeführt. Die Verwendung von QEMU als Virtualisierungsebene dient dabei dazu, schädlichen Datenverkehr über virtuelle Maschinen zu tunneln, wodurch der Angriff schwerer zu entdecken ist. Fortgeschrittene Auswertungstools werden so getäuscht und die dauerhafte Präsenz im Netzwerk gesichert.
Ein weiteres zentrales Element der Attacke war der Einsatz mächtiger administrativer Kommandos mittels WMIC und PowerShell. Die Angreifer generierten außerdem eigene lokale Administrator-Konten, um über Remote Desktop Protocol (RDP) auf weitere Systeme im Unternehmensnetz zuzugreifen. Zusätzlich implementierten sie kommerzielle Fernwartungstools wie XEOXRemote, um die Kontrolle aufrechtzuerhalten und ihre Zugänge auszuweiten. Der finale Angriffsschritt war die Kompromittierung einer Domain-Administrator-Benutzerkennung, was den Angreifern quasi freie Hand im gesamten Netzwerk gab. Trotz aktiver Abwehrmechanismen von Sophos, die Versuche der seitlichen Bewegung und Attacken auf Sicherheitsprodukte verhinderten, konnten die Cyberkriminellen dennoch gigantische Datenmengen im Umfang von rund 868 Gigabyte exfiltrieren.
Die gestohlenen Informationen wurden in der Cloud gespeichert, wobei Tools wie GoodSync zum Einsatz kamen, um die Daten unauffällig zu übertragen. Die verbreitete Nutzung solcher Synchronisationssoftware zeigt, wie Angreifer legitime Anwendungen ausnutzen, um Erkennung zu erschweren. Eine weitere gute Nachricht ist, dass die bösartige Verschlüsselung der 3AM-Ransomware im Netzwerk größtenteils eingedämmt werden konnte und sich auf den ersten kompromittierten Host beschränkte. Dies ist jedoch kein Anlass zur Sorglosigkeit, denn Datenverlust, Firmenimage-Schäden und der Aufwand zur Wiederherstellung stellen allein schon eine massive Belastung dar. Sicherheitsexperten von Sophos empfehlen dringend, die Verwaltung von Administrator-Konten kritisch zu prüfen und potenzielle Schwachstellen im Zugriffsschutz zu schließen.
Zudem sollte der Einsatz sogenannter Extended Detection and Response (XDR)-Systeme vorangetrieben werden, die unautorisierte Aktivitäten von legitimen Tools erkennen und verhindern können – beispielsweise der unerlaubte Gebrauch von Virtualisierungssoftware wie QEMU oder Datensynchronisationsprogrammen wie GoodSync. Die Policy-Einstellung zur Ausführung von PowerShell-Skripten sollte außerdem restriktiv gehandhabt und nur digital signierte Skripte zugelassen werden. Für Firmen empfiehlt es sich zudem, eigene Listen von erkannten Schadsoftware-Indikatoren laufend zu aktualisieren und auf Basis dieser Daten effektiv Filter einzurichten. Solche Whitelists und Blacklists steigern den Schutz vor bekannten Angriffstechniken erheblich. Die prinzipielle Lehre aus den 3AM-Angriffen lautet: Ein multifaktorieller Sicherheitsansatz ist unerlässlich.
Technologische Barrieren reichen allein nicht aus, wenn Angreifer gezielt soziale Manipulation einsetzen, um menschliche Schwachstellen auszunutzen. Sensibilisierung der Mitarbeiter durch regelmäßige Schulungen zur Erkennung von Phishing-Mails sowie der Umgang mit unerwarteten Supportanfragen kann entscheidend sein, um solche Social-Engineering-Attacken frühzeitig zu unterbinden. Der bedingungslose Einsatz von Multifaktor-Authentifizierung, sowohl für den Fernzugang als auch für interne Systeme, stellt weitere Hürden dar und verhindert oft das reibungslose Erlangen von Zugangsdaten durch die Angreifer. Abschließend lässt sich sagen, dass der immer ausgeklügeltere Einsatz von täuschenden Methoden durch Cyberkriminelle neue Herausforderungen für die IT-Sicherheit von Unternehmen schafft. Die Verschmelzung von technischen Angriffen mit manipulativen Kommunikationsstrategien erhöht die Gefahr von erfolgreichen Ransomware-Attacken enorm.
Firmen sollten diese Entwicklungen aufmerksam verfolgen, technische und organisatorische Sicherheitskonzepte laufend aktualisieren und ein Bewusstsein schaffen, welches den Menschen als wichtigste Verteidigungslinie in den Mittelpunkt rückt. Nur durch eine Kombination aus moderner Technologie, proaktiver Überwachung und aufgeklärten Mitarbeitern lässt sich die Bedrohung durch Ransomware-Gruppen wie 3AM effektiv minimieren und wertvolle Unternehmensdaten schützen.
