Illustration Absmeier foto freepik

Paradigmenwechsel im cyberkriminellen Vorgehen erfordert neue Maßnahmen.

Eine der größten Aufgaben für Cybersicherheitsverantwortliche ist es, mit den stets neuen Angriffstaktiken schrittzuhalten. Zu diesen zählen aktuelle Ransomware-Attacken, die Endpunkte ignorieren und direkt auf die Infrastruktur auf Hypervisor-Ebene abzielen. Da die meisten modernen Infrastrukturen mittlerweile virtualisiert sind, kann ein Angreifer über diesen Vektor die gesamte IT des Unternehmens effektiv lahmlegen.

Angriffe auf einen Hypervisor unterscheiden sich vom klassischen Ransomware-Angriff auf einen Endpunkt wesentlich im Umfang und durch ihr technisches Vorgehen. Eine traditionelle Ransomware-Kampagne kann viele Endpunkte ins Visier nehmen und fokussiert sich darauf, Daten zu verschlüsseln. So bleibt das Betriebssystem des Rechners funktionsfähig, aber die Informationen sind nicht mehr zugänglich. Im Gegensatz dazu ist ein Angriff auf einen Hypervisor ein Angriff auf die zentrale IT-Administration. Cyberkriminelle wollen die virtuellen Festplattendateien der darauf gehosteten virtuellen Maschinen verschlüsseln. Dadurch starten die virtuellen Maschinen nicht mehr, wodurch effektiv und auf einem Schlag ganze Applikationen, Server und Dienste lahmgelegt sind. Weg von der Datengeiselnahme auf einzelnen Maschinen hin zum vollständigen Lahmlegen der gesamten IT-Infrastruktur – das ist ein grundlegend neuer Ansatz.

Mehrere Ransomware-as-a-Service-Gruppen wie zum Beispiel Cactus, LockBit, RansomHouse oder Scattered Spider nehmen daher Hypervisoren ins Visier. Diese kritischen Komponenten anzugreifen, ist für viele der raffiniertesten Ransomware-Aktionen zu einer gängigen Strategie geworden, da sie für Cyberkriminelle eine Reihe von Vorteilen bietet:

Effiziente Angriffe durch OS-unabhängige Programmiersprachen:
Durch das Schreiben eines einzigen Golang- oder Rust-basierten wirksamen Codes kann ein Angreifer ein Tool erstellen, das sowohl für Systeme mit Linux-basierten VMware ESXi als auch auf herkömmlichen Windows- oder Linux-Servern wirksam ist. Diese Effizienz ermöglicht es Cyberkriminellen, ihre Operationen zu skalieren und deren Reichweite mit minimalem zusätzlichen Aufwand auf verschiedene Umgebungen auszuweiten.
Diskreter Druck statt Aufmerksamkeit erregendes Chaos:
Wenn Angreifer Hypervisoren ins Visier nehmen, können sie die Kerninfrastruktur verschlüsseln, während Endbenutzergeräte und Front-End-Geschäftsabläufe weitgehend unberührt bleiben. Diese Strategie reduziert vor allem den öffentlichen und medialen Druck auf das Opferunternehmen und macht es für Ransomware-Gruppen leichter, die Aufmerksamkeit von Strafverfolgungsbehörden zu vermeiden. Da weitreichende Ausfälle in IT und Geschäftsprozessen zunächst ausfallen, können Cyberkriminelle und Opfer diskreter und ohne Druck verhandeln. Die Betroffenen erhalten eine scheinbar wirksame Alternative zum öffentlichen Eingeständnis eines Angriffs und die Bereitschaft, Lösegelder zu zahlen, steigt.
Höhere Wiederherstellungsrate als vertrauensbildende Maßnahme:
Auch Cyberkriminelle benötigen ein gewisses Grundvertrauen von Seiten ihrer Opfer in die Bereitschaft und Fähigkeit, die Verschlüsselung aufzuheben. Auch Kriminelle sind sich dessen bewusst. Bei Angriffen auf virtuelle Maschinen fällt es ihnen nun leichter, ihre Versprechen einzuhalten. Denn sie können verschlüsselte virtuelle Maschinen mit größerer Wahrscheinlichkeit erfolgreich wiederherstellen als Endpunkte. Der Grund: Bei einem Hypervisor-Angriff schaltet der Angreifer zunächst alle aktiven virtuellen Maschinen aus. Dieser Vorgang stellt sicher, dass alle Dateien geschlossen sind und kein Prozess sie aktiv verwendet. Das verhindert, dass geöffnete Dateien das Verschlüsselungstool blockieren. Das bedeutet zugleich, dass das bereitgestellte Entschlüsselungstool mit größerer Wahrscheinlichkeit einwandfrei funktioniert.
Lücken in der Kontrolle:
IT-Management-Teams konzentrieren sich häufig eher auf betriebliche Effizienz und Stabilität als auf strenge Sicherheitskontrollen. Dies kann zu kritischen Sicherheitslücken führen, wie etwa dem Fehlen einer Multi-Faktor-Authentifikation (MFA) für den Zugriff auf die Schnittstellen zur Administration der Hypervisoren oder auf nicht gepatchte Schwachstellen, die in einer ausgereifteren Endpunktumgebung sofort erkannt würden.
Viele Hypervisoren unterstützen zudem EDR/XDR-Agenten direkt auf dem Host nicht offiziell. Stattdessen empfehlen die Anbieter oft den traditionellen und ineffektiven Ansatz, diese Sicherheitstools innerhalb jeder virtuellen Maschine auszuführen. Da diese VMs bei der Verschlüsselung heruntergefahren werden, werden ihre Sicherheitsstacks irrelevant.
Gezielter Druck auf die IT-Teams:
Im Gegensatz zu einem großflächigen Angriff, der Tausende von Mitarbeitern und Abteilungen betreffen kann, konzentriert sich die ganze Aktivität der Erpresser bei einem Hypervisor-Angriff auf ein einziges isoliertes Team: die IT- und Systemadministratoren. Diese haben die Aufgabe, die unmittelbare Krise zu bewältigen, sich um die technischen Folgen zu kümmern und oft auch die Lösegelder auszuhandeln. Ein solches fokussiertes Vorgehen kann die betroffene Organisation williger machen, geforderte Beträge zu bezahlen. Die einzelnen Geschäftsbereiche und das C-Level verstärken diesen Druck, weil sie schnellstmöglich den Geschäftsbetrieb wiederherstellen wollen.

Wie man sich vor Ransomware-Attacken auf Hypervisor-Ebene schützt

Die grundlegendste Abwehrmaßnahme besteht darin, Hypervisoren und deren Administrationssoftware auf dem neuesten Stand zu halten. Unternehmen benötigen ein robustes Patch-Management-Programm, das Schwachstellen auf Hypervisor-Ebene priorisiert.

Multi-Faktor-Authentifikation
Eine Multi-Faktor-Authentifikation sollte für alle Nutzer mit Administrationsrechten Standard sein, insbesondere für die Konsolen zum Verwalten der Hypervisoren.

Prinzip der geringsten Privilegien
Das Prinzip der geringsten Privilegien sollte strikt gelten, um sicherzustellen, dass kein Benutzer oder Dienst mehr Rechte hat, als er für seine Aufgaben benötigt.

Host-Betriebssystem absichern
Security-Teams müssen außerdem das Host-Betriebssystem absichern, indem sie unnötige Dienste wie OpenSLP deaktivieren und den Zugriff aus dem Netz auf administrative Schnittstellen mit Firewall-Regeln einschränken oder dedizierte Netze zur Administration einrichten.

Kombination mit menschlicher Expertise
EDR- und XDR-Plattformen bieten die erforderlichen Detection- und Response-Funktionen, wirken jedoch nur in der Kombination mit menschlicher Expertise – entweder durch ein internes SOC oder einen externen MDR-Anbieter.

Wiederherstellungsstrategie
Die Wiederherstellungsstrategie ist zudem eine wichtige und oft letzte Reißleine, um die Blockade der IT im nie auszuschließenden Ernstfall aufzuheben. Empfohlener Standard für Ransomware-Resilienz ist die 3-2-1-1-0-Backup-Regel: Drei Kopien der Daten auf zwei Medientypen mit einer Kopie außerhalb des Standorts und einer Kopie, die unveränderlich (oder air-gapped) ist: Angreifer können sie nicht verschlüsseln oder löschen. Die 0 steht für Zero Recovery Surprises: Backups sind regelmäßig auf ihre Funktionsfähigkeit zu testen.

Unternehmen müssen außerdem über einen spezifischen, gut eingeübten Notfallplan für Hypervisor-Angriffe verfügen. Dieser Plan sollte klare Schritte zur Eindämmung des Angriffs enthalten, wie etwa das physische Abtrennen infizierter Hosts, um zu verhindern, dass Hacker die Malware weiter ausbreiten. Ebenso wichtig ist auch ein Kommunikationsplan für alle Beteiligten, von Mitarbeitern bis hin zu Stakeholdern.

Martin Zugec, Technical Solutions Director bei Bitdefender

Die Bedeutung des Hypervisor

Ein Hypervisor – auch Virtual Machine Monitor (VMM) genannt – ist eine Software- oder Firmware-Schicht, die es ermöglicht, mehrere virtuelle Maschinen (VMs) auf einer einzigen physischen Hardware auszuführen. Er abstrahiert die Hardware-Ressourcen (CPU, RAM, Speicher, Netzwerk) und teilt sie so auf, dass verschiedene Betriebssysteme parallel und voneinander isoliert laufen können2.

Kernprinzipien

Abstraktion: Der Hypervisor trennt Hardware von Betriebssystemen.
Ressourcenverwaltung: Er weist VMs dynamisch Rechenleistung, Speicher und I/O zu.
Isolation: Jede VM ist abgeschottet – Fehler oder Angriffe in einer VM beeinträchtigen die anderen nicht.
Flexibilität: Mehrere Betriebssysteme (z. B. Windows, Linux) können gleichzeitig auf derselben Hardware laufen.

Typen von Hypervisoren

Typ 1 (Bare Metal / Native Hypervisor)
- Läuft direkt auf der Hardware, ohne Host-Betriebssystem.
- Beispiele: VMware ESXi, Microsoft Hyper-V, Xen.
- Vorteil: Sehr effizient, für Rechenzentren und Server geeignet.
Typ 2 (Hosted Hypervisor)
- Läuft als Anwendung auf einem bestehenden Betriebssystem.
- Beispiele: Oracle VirtualBox, VMware Workstation.
- Vorteil: Einfach für Tests und Entwicklung, aber weniger performant.

Vorteile für Unternehmen

Kosteneffizienz: Bessere Auslastung der Hardware.
Flexibilität: Schnelles Bereitstellen neuer Systeme.
Sicherheit: Isolation von Anwendungen und Testumgebungen.
Skalierbarkeit: Grundlage für Cloud-Computing und Container-Orchestrierung.

Kurz gesagt: Der Hypervisor ist das Herzstück der Virtualisierung – ohne ihn gäbe es weder moderne Cloud-Infrastrukturen noch effiziente Rechenzentren.

Genki Absmeier

2290 Artikel zu „Ransomware“

Trends 2025 | News | Trends Security | IT-Security | Whitepaper

70 Prozent mehr Ransomware

24. August 2025

25 Prozent mehr Phishing-Angriffe. Jeder zweite Angriff auf MSPs startete mit Phishing (52 Prozent). Die Cyberbedrohungslage blieb im ersten Halbjahr 2025 weiterhin angespannt, wie der aktuelle Acronis Cyberthreats Report für das erste Halbjahr zeigt [1]. Unternehmen waren vor allem von Ransomware betroffen; im Vergleich zum Vorjahreszeitraum stieg die Anzahl Betroffener um 70 Prozent an.…

Paradigmenwechsel im cyberkriminellen Vorgehen erfordert neue Maßnahmen.

Die Bedeutung des Hypervisor

2290 Artikel zu „Ransomware“

1524 Artikel zu „Ransomware Attacken“