Die Illusion der geschützten Endpunkte
Unternehmen investieren erhebliche Budgets in Endpoint Detection and Response. Die Erwartung: Jede verdächtige Aktivität auf Servern und Arbeitsplätzen wird erkannt und blockiert. In der Praxis beobachten wir in Assessments allerdings eine wachsende Lücke zwischen dem, was EDR-Lösungen versprechen, und dem, was organisierte Ransomware-Gruppen tatsächlich tun.
Die aktuelle Generation von Angreifern hat Techniken entwickelt, die den gesamten Schutzmechanismus von Host-basierter Security systematisch unterlaufen — und die wirksamste davon nutzt Virtualisierung.
Der Grundgedanke ist simpel: Was eine EDR-Lösung nicht sehen kann, kann sie nicht blockieren. Wenn ein Angreifer seinen Payload nicht auf dem Host ausführt, sondern innerhalb einer virtuellen Maschine, dann laufen Verschlüsselung, Exfiltration und Command-and-Control-Kommunikation in einem Betriebssystem, das für die Sicherheitssoftware des Hosts unsichtbar ist. Der Host sieht lediglich die I/O-Operationen eines legitimen Virtualisierungsprozesses — etwa VBoxHeadless.exe oder qemu-system-x86_64.
Wie VM-basierte Evasion funktioniert
Die Technik ist im MITRE ATT&CK-Framework als T1564.006 (Run Virtual Instance) dokumentiert und hat sich seit den ersten Beobachtungen deutlich weiterentwickelt. Der Ablauf folgt einem klaren Muster: Nach dem Initial Access installiert der Angreifer einen Hypervisor auf dem kompromittierten System, startet eine minimale virtuelle Maschine und mountet die Laufwerke des Hosts als Netzwerkfreigaben oder Shared Folders in die Gast-VM. Der eigentliche Ransomware-Prozess läuft anschließend innerhalb der VM und greift über die gemounteten Freigaben auf die Daten des Hosts zu.
Aus Sicht der Host-EDR geschieht dabei nichts Verdächtiges. Die Dateizugriffe stammen von einem signierten Virtualisierungsprozess, die Netzwerkkommunikation läuft über die virtuelle Netzwerkschnittstelle der VM, und die eigentliche Malware existiert nur im Speicher der Gast-VM. Verhaltensbasierte Erkennung, Prozessüberwachung und Dateianalyse — die drei Säulen moderner EDR — greifen ins Leere.
Entscheidend ist: Die Technik erfordert keinerlei Kernel-Exploit oder Zero-Day. Der Angreifer nutzt legitime Virtualisierungssoftware, die auf den meisten Systemen problemlos als Benutzer oder lokaler Administrator ausführbar ist. Die EDR-Lösung müsste erkennen, dass ein Virtualisierungsprozess Dateien auf gemounteten Host-Laufwerken verschlüsselt — eine Korrelation, die die meisten Produkte nicht leisten, weil der Verschlüsselungsprozess innerhalb der VM abläuft und nach außen nur als sequenzielles Schreiben durch den Hypervisor-Prozess sichtbar wird.
Warum gerade QEMU?
Während die ersten dokumentierten Fälle Oracle VirtualBox nutzten, setzen aktuelle Kampagnen bevorzugt auf QEMU. Der Grund ist pragmatisch: QEMU existiert als portable Binary und erfordert keine Installation. Ein Angreifer kopiert die ausführbare Datei schlicht auf das kompromittierte System und startet ein minimales Linux-Image. Es gibt keinen Installer, keinen Registry-Eintrag und keinen Dienst, der bei einer oberflächlichen Forensik auffallen würde. QEMU unterstützt zudem Port-Forwarding, sodass sich Reverse-SSH-Tunnel und C2-Kanäle direkt aus der VM heraus aufbauen lassen.
Reale Angriffe: Von Ragnar Locker bis Payouts King
Die VM-Evasion-Technik ist keine theoretische Bedrohung. Sie wurde in mehreren dokumentierten Ransomware-Kampagnen eingesetzt und hat sich über die Jahre weiterentwickelt.
Ragnar Locker (2020): Der Prototyp
Die erste breit dokumentierte VM-basierte Evasion wurde von der Ragnar-Locker-Gruppe durchgeführt. Die Angreifer verteilten ein 122 MB großes Installationspaket, das Oracle VirtualBox 3.0.4 und ein 282 MB großes Windows-XP-Image enthielt — alles, um eine 49 KB kleine Ransomware-Datei auszuführen. Die VM mountete die Laufwerke des Hosts als Netzwerkfreigaben und verschlüsselte die Daten über die gemounteten Pfade. Der Host-Antivirus sah lediglich den legitimen VBoxHeadless.exe-Prozess, der sequenziell auf Dateien zugriff.
Der Ansatz war noch vergleichsweise grobschlächtig — ein MSI-Installer, ein veralteter Hypervisor, ein volles Windows-Image — aber er bewies das Grundprinzip. Kurz darauf übernahm die Maze-Gruppe dieselbe Technik und zeigte, dass VM-Evasion kein Einzelfall, sondern eine reproduzierbare Methode war.
Payouts King / STAC4713 (2025–2026): Die aktuelle Generation
Die Kampagne STAC4713, die seit November 2025 aktiv ist und mit der Ransomware-Operation Payouts King in Verbindung steht, zeigt die Evolution der Technik. Die Angreifer — ehemalige BlackBasta-Affiliates, die nach dem Leak der internen Chat-Logs im Februar 2025 unter neuem Namen operierten — nutzen QEMU statt VirtualBox. Eine als TPMProfiler getarnte Scheduled Task startet eine versteckte QEMU-VM mit SYSTEM-Rechten. Die virtuellen Disk-Images sind als Datenbank- und DLL-Dateien getarnt.
Die VM selbst läuft mit Alpine Linux 3.22.0 und enthält ein vollständiges Angreifer-Toolkit: AdaptixC2 als Command-and-Control-Framework, Chisel für verschlüsselte Tunnel, Rclone für die Datenexfiltration und BusyBox für allgemeine Systemoperationen. Der Initial Access erfolgt über exponierte SonicWall-VPNs oder die SolarWinds-Web-Help-Desk-Schwachstelle CVE-2025-26399.
| Merkmal | Ragnar Locker (2020) | Payouts King (2025–2026) |
|---|---|---|
| Hypervisor | VirtualBox 3.0.4 | QEMU (portabel) |
| Gast-OS | Windows XP SP3 | Alpine Linux 3.22.0 |
| Image-Größe | 282 MB | Minimal (unter 100 MB) |
| Installation nötig | Ja (MSI-Installer) | Nein (portable Binary) |
| Tarnung | Keine besondere | Disk-Images als DLLs getarnt |
| C2-Kanal | Extern über Host | Direkt aus VM via SSH-Tunnel |
| Persistenz | Einfach | Scheduled Task als SYSTEM |
Nicht nur VMs: Das erweiterte Evasion-Arsenal
VM-basierte Evasion ist nur eine von mehreren Techniken, mit denen Ransomware-Gruppen EDR-Lösungen umgehen. In der Praxis kombinieren Angreifer mehrere Methoden, um die gesamte Verteidigungskette auszuhebeln.
BYOVD — Bring Your Own Vulnerable Driver
Bei BYOVD-Angriffen laden Angreifer einen legitimen, digital signierten, aber verwundbaren Kernel-Treiber auf das Zielsystem. Der Treiber verschafft Kernel-Zugriff, über den die Angreifer die Callback-Registrierungen aller EDR-Prozesse entfernen und die Sicherheitssoftware deaktivieren. Im März 2026 dokumentierten Sicherheitsforscher 54 verschiedene EDR-Killer-Tools, die 35 signierte verwundbare Treiber ausnutzen. Die Qilin-Ransomware-Gruppe setzte einen Loader ein, der über 300 EDR-Treiber nahezu aller Sicherheitsanbieter deaktivieren kann. Besonders beunruhigend: Neuere Ransomware-Varianten betten den verwundbaren Treiber direkt in die Malware ein, sodass die gesamte Kette — von der Deaktivierung der Sicherheitssoftware bis zur Verschlüsselung — in einem einzigen Schritt abläuft.
LOLBins — Living Off the Land
Exploit-freie Angriffe über legitime Systemprogramme machen einen wachsenden Anteil der Ransomware-Vorfälle aus. Laut einer Bitdefender-Analyse von über 700.000 Sicherheitsvorfällen tauchten LOLBins in 17 Prozent aller untersuchten Vorfälle im dritten Quartal 2025 auf, wobei PowerShell in 71 Prozent aller Living-Off-the-Land-Angriffe zum Einsatz kam. Besonders problematisch: Werkzeuge wie curl.exe und tar.exe, die seit Windows 10 nativ enthalten und von Microsoft signiert sind, werden von EDR-Verhaltensregeln deutlich weniger streng überwacht als ältere, bereits bekannte Missbrauchskandidaten wie certutil oder bitsadmin.
Das Tückische an LOLBin-Ketten: Die gesamte Kill Chain — vom initialen Download über die Persistenz bis zur Exfiltration — kann ohne ein einziges Stück Custom-Malware ablaufen. Erst der finale Payload ist erkennbar schadhaft. Wenn die EDR zu diesem Zeitpunkt bereits per BYOVD oder GPO-Manipulation deaktiviert wurde, läuft auch die letzte Erkennungschance ins Leere.
GPO-basierte Ransomware-Verteilung
Microsoft dokumentierte im März 2026 einen Fall, bei dem Angreifer Gruppenrichtlinien nutzten, um EDR-Schutzfunktionen flächendeckend zu deaktivieren — darunter Verhaltensüberwachung und Echtzeitschutz — und anschließend Ransomware über Scheduled Tasks an alle Domänenmitglieder zu verteilen. Die Methode nutzt die legitime Active-Directory-Infrastruktur als Verteilungsmechanismus und fällt bei klassischer Endpoint-Überwachung nicht auf.
Im konkreten Fall zielte der Angriff auf eine Bildungseinrichtung mit über 2.000 verwalteten Geräten, 33 Servern und 11 Domain Controllern. Die Angreifer erstellten eine GPO, die Defender-Schutzfunktionen auf den Endpunkten deaktivierte, und nutzten die native AD-Replikation, um die Policy an alle Domänenmitglieder zu verteilen. Microsofts Predictive Shielding erkannte das Muster und blockierte die GPO-Propagation auf 700 Geräten, bevor die Ransomware ausgerollt werden konnte — ein Ergebnis, das ohne KI-gestützte Anomalieerkennung auf Infrastrukturebene nicht möglich gewesen wäre.
Warum EDR allein nicht ausreicht
Die Gemeinsamkeit aller beschriebenen Techniken: Sie setzen an den architektonischen Grenzen von EDR-Lösungen an. EDR überwacht Prozesse, Dateisystemoperationen und Netzwerkverbindungen auf dem Host — aber eben nur auf dem Host. Aktivitäten innerhalb einer Gast-VM, Kernel-Level-Manipulationen durch signierte Treiber und die Nutzung legitimer Systemwerkzeuge liegen strukturell außerhalb oder an der Grenze des Sichtfelds.
Das Tempoproblem
Dazu kommt der Faktor Zeit. Microsoft dokumentierte bei Storm-1175 — einer Gruppe, die die Medusa-Ransomware einsetzt — ein operatives Tempo, bei dem vom Initial Access über die Datenexfiltration bis zur Ransomware-Verteilung in manchen Fällen weniger als 24 Stunden vergehen. Die Angreifer nutzen dabei frisch veröffentlichte Schwachstellen in web-exponierten Systemen wie Exchange, Ivanti Connect Secure, ConnectWise ScreenConnect oder CrushFTP. Mehr als 16 verschiedene Schwachstellen hat Microsoft allein bei dieser Gruppe seit 2023 dokumentiert.
Storm-1175 setzt dabei auf bewährte Tools zur Datenexfiltration: Bandizip zum Sammeln und Komprimieren der Zieldateien, Rclone zur Synchronisation mit angreifergesteuerten Cloud-Ressourcen. Gleichzeitig nutzen die Angreifer kodierte PowerShell-Befehle, um das gesamte C:\-Laufwerk in die Antivirus-Ausnahmeliste aufzunehmen — eine simple Maßnahme, die überraschend wirksam ist und bei vielen EDR-Konfigurationen keinen Alarm auslöst.
Die Realität im Mittelstand
Wenn der gesamte Angriff innerhalb eines Tages abläuft, reicht eine EDR-Lösung, die Alerts generiert und auf manuelle Triage wartet, strukturell nicht aus. Wir finden in Assessments regelmäßig EDR-Deployments, bei denen zwar Alerts erzeugt werden, aber weder automatisierte Response-Regeln noch ein SOC-Team vorhanden sind, das innerhalb von Minuten reagieren könnte. In mittelständischen Unternehmen — die primären Ziele von Ransomware-Gruppen wie Payouts King oder Medusa — fehlt häufig die personelle Kapazität für 24/7-Monitoring. Die EDR-Konsole wird einmal am Tag geprüft, manchmal seltener. Bei einem Angriff, der in wenigen Stunden abgeschlossen ist, reicht das nicht aus.
Defense in Depth: Die einzige belastbare Antwort
Wenn einzelne Kontrollschichten umgehbar sind, muss die Sicherheitsarchitektur so aufgebaut sein, dass der Ausfall einer Schicht nicht zum Totalverlust führt. Das ist der Kern von Defense in Depth — keine neue Erkenntnis, aber angesichts der beschriebenen Evasion-Techniken aktueller denn je. In der Praxis bedeutet das vier ineinandergreifende Maßnahmenfelder, die jeweils unterschiedliche Phasen der Angriffskette adressieren.
Netzwerksegmentierung und Zero Trust
Mikrosegmentierung begrenzt den Blast Radius eines kompromittierten Systems. Selbst wenn ein Angreifer eine VM-basierte Evasion auf einem Endpunkt durchführt, kann er ohne Netzwerkzugang keine Laufwerke auf anderen Systemen erreichen. Eine Zero-Trust-Architektur verifiziert jeden Zugriff unabhängig vom Netzwerkstandort und verhindert laterale Bewegung — den Kern jeder Ransomware-Operation.
In der Praxis bedeutet das: SMB-Zugriff auf Dateiserver sollte nicht von beliebigen Endpunkten möglich sein, sondern nur von definierten Quellsystemen und authentifizierten Benutzern. Wenn die QEMU-VM auf einem kompromittierten Arbeitsplatz keine SMB-Verbindungen zu den Dateiservern aufbauen kann, bleibt die Verschlüsselung auf das lokale System begrenzt. Der Unterschied zwischen einem verschlüsselten Einzelsystem und einem unternehmensweiten Ransomware-Ausfall liegt in der Netzwerkarchitektur.
Identity Hardening
Der Weg vom Initial Access zum Domain Admin führt in den meisten Umgebungen über das Active Directory. Ein gehärtetes Tiering-Modell, Privileged Access Management mit Least-Privilege-Prinzip und die konsequente Einschränkung von Service-Account-Berechtigungen erhöhen den Aufwand für Angreifer erheblich. Wenn ein kompromittierter Endpunkt keine privilegierten Credentials im Speicher hat — etwa durch Credential Guard und LSASS-Schutz — läuft die Eskalationskette ins Leere.
Gerade die Payouts-King-Kampagne zeigt, warum Identity Hardening entscheidend ist: Die Angreifer benötigen SYSTEM-Rechte, um die QEMU-VM als Scheduled Task zu starten. Ohne lokale Administratorrechte auf dem Zielsystem — und ohne Möglichkeit zur Privilegieneskalation über das AD — scheitert der Angriff, bevor die VM überhaupt gestartet wird. Conditional Access-Policies und MFA für administrative Zugriffe schaffen zusätzliche Hürden, die das Zeitfenster für Angreifer weiter verkürzen.
Application Control
WDAC (Windows Defender Application Control) und AppLocker verhindern die Ausführung nicht autorisierter Binaries — einschließlich portabler QEMU-Instanzen. Wenn nur explizit freigegebene Anwendungen ausgeführt werden dürfen, scheitert die VM-Evasion bereits am ersten Schritt: dem Starten des Hypervisors. Smart App Control in Windows 11 ergänzt diesen Ansatz durch reputationsbasierte Bewertung unbekannter Binaries auf Endgeräten.
Monitoring jenseits des Endpoints
Ein SIEM korreliert Ereignisse aus Netzwerk, Identity-Systemen und Endpoints. Die Installation eines Hypervisors, das Anlegen einer Scheduled Task mit SYSTEM-Rechten und ungewöhnlicher Netzwerkverkehr von einem Endpunkt erzeugen einzeln betrachtet möglicherweise keinen High-Priority-Alert. In Kombination ergeben sie ein klares Angriffsbild — vorausgesetzt, die Telemetrie wird zusammengeführt.
Besonders relevant ist die Korrelation von Identity-Events mit Netzwerkanomalien. Wenn ein Service Account, der normalerweise nur auf bestimmte Server zugreift, plötzlich SMB-Verbindungen zu Dutzenden von Systemen aufbaut, ist das ein starkes Indiz für laterale Bewegung — unabhängig davon, ob der Angreifer die EDR umgangen hat. Diese Erkennung setzt voraus, dass Identity-Logs (Event ID 4624, 4672) und Netzwerk-Flow-Daten gemeinsam analysiert werden.
Praktische Erkennungsstrategien
Die folgenden Maßnahmen adressieren die beschriebenen Evasion-Techniken gezielt und lassen sich in den meisten Unternehmensumgebungen umsetzen.
| Evasion-Technik | Erkennungsansatz | Umsetzung |
|---|---|---|
| VM-basierte Evasion | Ausführung von Hypervisor-Binaries überwachen | WDAC-Policy: qemu-system-*.exe, VBoxHeadless.exe blocken; Sysmon Event ID 1 für Prozessstart |
| BYOVD | Laden verwundbarer Kernel-Treiber erkennen | Microsoft Vulnerable Driver Blocklist aktivieren; Sysmon Event ID 6 für Treiberladung |
| LOLBins | Ungewöhnliche Nutzung legitimer Tools | Behavioral Rules für curl.exe, tar.exe, msbuild.exe in Kombination mit Netzwerkverbindungen |
| GPO-Manipulation | Änderungen an sicherheitsrelevanten GPOs | Event ID 5136 (Directory Service Changes) auf OU-Ebene überwachen |
| Datenexfiltration | Ungewöhnliche Outbound-Datenmengen | NDR-Lösung (Network Detection and Response) für volumetrische Anomalien |
| Scheduled Tasks als Persistenz | Neue Tasks mit SYSTEM-Rechten | Event ID 4698 (Scheduled Task Created) mit Filterung auf SYSTEM-Kontext |
Darüber hinaus sollten Unternehmen prüfen, ob ihre EDR-Lösung Kernel-Tamper-Protection bietet — also erkennt, wenn ein Treiber versucht, die EDR-Callbacks zu entfernen. Microsofts Vulnerable Driver Blocklist ist hier ein wichtiger Baustein: Sie verhindert das Laden bekannter verwundbarer Treiber auf Kernel-Ebene und entzieht BYOVD-Angriffen damit die Grundlage. Die Blocklist muss allerdings aktiv aktualisiert werden, da regelmäßig neue verwundbare Treiber identifiziert werden.
Für Unternehmen, die Virtualization-Based Security (VBS) einsetzen, bietet Hypervisor-Protected Code Integrity (HVCI) einen zusätzlichen Schutzlayer: Selbst wenn ein Angreifer einen verwundbaren Treiber laden kann, verhindert HVCI die Ausführung von unsigniertem oder manipuliertem Code im Kernel-Speicher. In Kombination mit Credential Guard entsteht eine Härtung, die sowohl BYOVD als auch Credential-Theft-Techniken adressiert.
Incident Response vorbereiten
Keine Verteidigung ist perfekt. Ein Incident-Response-Plan, der VM-basierte Evasion und BYOVD explizit berücksichtigt, verkürzt die Reaktionszeit im Ernstfall erheblich. Dazu gehört die Fähigkeit, verdächtige Systeme schnell vom Netzwerk zu isolieren, Forensik-Images von VM-Artefakten zu sichern und die Angriffskette auch dann nachzuvollziehen, wenn die Host-EDR keine Alerts generiert hat. Wir finden in Assessments regelmäßig, dass Incident-Response-Pläne zwar existieren, aber VM-basierte Angriffsmuster nicht abdecken — ein blinder Fleck, der im Ernstfall wertvolle Stunden kostet.
Fazit: EDR ist notwendig, aber nicht hinreichend
VM-basierte Evasion, BYOVD und LOLBin-Ketten sind keine exotischen Techniken mehr. Sie gehören zum Standardrepertoire organisierter Ransomware-Gruppen, die innerhalb weniger Stunden vom Initial Access zur Verschlüsselung gelangen. Die Entwicklung von Ragnar Locker (2020) zu Payouts King (2026) zeigt eine klare Professionalisierung: geringerer Footprint, bessere Tarnung, schnellere Operationszyklen. Wer sich ausschließlich auf Endpoint-Security verlässt, baut eine einschichtige Verteidigung gegen Angreifer, die genau diese Schicht systematisch umgehen.
Die Antwort liegt nicht in besserer EDR, sondern in Defense in Depth: Netzwerksegmentierung verhindert laterale Bewegung, Identity Hardening schließt Eskalationspfade, Application Control blockiert unautorisierte Binaries, und korreliertes Monitoring erkennt Angriffe über einzelne Kontrollschichten hinweg. Jede dieser Maßnahmen für sich ist umgehbar — in Kombination erzeugen sie eine Verteidigungstiefe, die den Aufwand für Angreifer drastisch erhöht und das Zeitfenster für Erkennung und Reaktion vergrößert.
Entscheidend ist dabei die ehrliche Standortbestimmung: Welche dieser Schichten existieren in der eigenen Umgebung tatsächlich, und welche bestehen nur auf dem Papier? In der Praxis erleben wir häufig, dass einzelne Maßnahmen zwar geplant oder teilweise implementiert sind, aber nie vollständig ausgerollt oder regelmäßig getestet wurden. Ein WDAC-Policy-Entwurf in der Testumgebung schützt keine Produktivsysteme, und eine Netzwerksegmentierung mit Dutzenden von Any-Any-Regeln bietet keinen echten Schutz.
Ein Security Assessment deckt auf, welche dieser Schichten in Ihrer Umgebung fehlen oder unzureichend konfiguriert sind — von der Netzwerksegmentierung über die AD-Härtung bis zur Application-Control-Policy. Sprechen Sie mit uns über eine IT-Schwachstellenprüfung für Ihre Infrastruktur.