Hypervisor unter Beschuss: : Scattered Spider kapert VMware ESXi für gezielte Ransomware-Angriffe : Gezielte Angriffe auf kritische US-Infrastrukturen zeigen: Die Virtualisierungsebene ist längst ins Visier hochentwickelter Cyberakteure geraten.

Die Gruppe Scattered Spider, auch bekannt als 0ktapus, Muddled Libra oder UNC3944, verzichtet auf Zero-Day-Exploits und nutzt stattdessen ein bewährtes Playbook: Die Angreifer rufen gezielt bei IT-Helpdesks von Unternehmen an und geben sich dabei als Mitarbeitende aus. Mit überzeugenden Geschichten und technischen Tricks erschleichen sie sich Zugang zu besonders geschützten Benutzerkonten. Zusätzlich nutzen sie täuschend echt aussehende Internetadressen wie <<Name-des-Opfers>>-sso.com oder servicenow-<<Name-des-Opfers>>.com, um gefälschte Supportseiten aufzubauen. So gelingt es ihnen, echte Supportprozesse zu imitieren und an vertrauliche Zugangsdaten zu gelangen.

Laut dem Analystenteam von Google-Unternehmen Mandiant handelt es sich bei Scattered Spider um eine kampagnenorientierte, hochorganisierte Bedrohungsgruppe, deren Angriffe nicht opportunistisch, sondern präzise auf die wertvollsten Assets eines Unternehmens ausgelegt sind.

Von AD zu vSphere: So verläuft die Angriffskette

Der Ablauf des Angriffs lässt sich in fünf aufeinanderfolgende Phasen unterteilen:

1. Einstieg und Rechteausweitung:
   Die Angreifer nutzen gezielte Täuschungstechniken (Social Engineering), um sich Zugang zu Benutzerkonten mit erweiterten Berechtigungen zu verschaffen. Anschließend sammeln sie interne Dokumentationen, Administratoren-Informationen und greifen auf Passwortspeicher wie HashiCorp Vault oder anderer Lösungen für das Management privilegierter Zugriffe (Privileged Access Management, PAM) zu.
2. Ausbreitung in die virtuelle Infrastruktur:
   Mit gestohlenen Zugangsdaten für Active Directory verschaffen sich die Angreifer Zugriff auf die virtuelle Umgebung von VMware vSphere. Dort kompromittieren sie zentrale Verwaltungssysteme wie vCenter Server Appliances (vCSA) und installieren dauerhafte Fernzugänge (Reverse Shells) über das Werkzeug „teleport“ – und umgehen dabei bestehende Firewalls.
3. Zugriff auf ESXi-Hosts und Diebstahl von Active-Directory-Daten:
   Die Angreifer aktivieren den Fernzugriff per SSH auf den ESXi-Hosts und ändern Root-Passwörter, um virtuelle Maschinen zu manipulieren. In einem ausgeklügelten „Festplatten-Tausch“-Manöver trennen sie das virtuelle Laufwerk eines Domain Controllers ab, binden es in eine eigene virtuelle Maschine ein und kopieren die Datei NTDS.dit – die zentrale Datenbank aller Benutzerkonten im Active Directory.
4. Sabotage von Backups:
   Um eine Wiederherstellung zu verhindern, löschen die Angreifer gezielt alle Sicherungspunkte, Backup-Repositories und laufenden Backup-Jobs.
5. Ausrollen der Erpressersoftware:
   Zum Schluss übertragen sie eine eigens entwickelte Ransomware über sichere Protokolle wie SCP oder SFTP direkt auf den Hypervisor und führen sie dort aus.

Geschwindigkeit und Tarnung: Die neue Qualität der Bedrohung

Scattered Spider kombiniert zwei gefährliche Eigenschaften: extreme Geschwindigkeit und hohe Tarnung. Von der ersten Kompromittierung bis zur vollständigen Exfiltration und Verschlüsselung vergehen oft nur wenige Stunden. Herkömmliche Endpoint Detection and Response (EDR)-Lösungen erkennen die Angriffe nicht, da die Gruppe vollständig auf legitime Admin-Tools und systemnahe Mechanismen setzt – ein klassisches Living-off-the-Land-Vorgehen.

Google warnt: Die Angriffe auf die Virtualisierungsschicht haben das Potenzial, gesamte Rechenzentren lahmzulegen, da sie zentrale Infrastrukturknotenpunkte kompromittieren. Besonders kritisch ist dies in sensiblen Bereichen wie Luftfahrt, Einzelhandel oder Transportwesen.

DragonForce und Datenlecks: Neue Allianzen verstärken die Gefahr

Laut Palo Alto Networks Unit 42 ist Scattered Spider mittlerweile eng mit der Ransomware-as-a-Service-Gruppe DragonForce (auch bekannt als Slippery Scorpius) verbunden. In einem dokumentierten Vorfall wurden innerhalb von zwei Tagen über 100 Gigabyte an Daten exfiltriert. Die Gruppierung agiert professionell, koordiniert und mit klarem Fokus auf maximalen Schaden.

Handlungsempfehlungen: Sicherheit neu denken

Organisationen müssen bestehende Sicherheitskonzepte dringend überdenken und an diese neue Angriffsrealität anpassen. Google empfiehlt ein mehrschichtiges Verteidigungsmodell:

• Infrastrukturhärtung:
  – Aktivierung des vSphere Lockdown-Modus
  – Einschränkung von SSH-Zugriffen
  – VM-Verschlüsselung und Deaktivierung nicht benötigter Instanzen
• Identitätsschutz:
  – Phishing-resistente Multi-Faktor-Authentifizierung
  – Isolation sensibler Identitätsdienste
  – Vermeidung von Authentifizierungsschleifen
• Backup- und Log-Strategien:
  – Backup-Isolierung außerhalb des Active Directory
  – Zentrale Log-Überwachung mit Alarmierung
  – Einschränkung administrativer Rechte auf das Notwendigste

Mit dem bevorstehenden Ende des Supports für VMware vSphere 7 im Oktober 2025 rät Google zudem, neue Architekturen mit integrierter Sicherheitslogik zu planen – bevor veraltete Plattformen zur offenen Flanke für moderne Angreifer werden.

Fazit: Virtualisierung ist kein blinder Fleck mehr

Die Angriffe von Scattered Spider markieren eine neue Ära der Ransomware-Bedrohung. Sie sind nicht nur technisch raffiniert, sondern setzen gezielt auf organisatorische Schwächen – etwa im Helpdesk oder bei der Absicherung von Hypervisoren. Wer seine Virtualisierungsumgebungen nicht als kritischen Teil der Sicherheitsarchitektur versteht, riskiert den vollständigen Kontrollverlust.

Für Unternehmen heißt das: Hypervisoren, Identitäten und Backup-Systeme gehören ins Zentrum einer modernen Sicherheitsstrategie – nicht an den Rand.