Sophos Labs hat in dem neuen Report „Python Ransomware Script Targets ESXi Server for Encryption“ Python-basierte Ransomware-Angriffe analysiert, mit der Cyberkriminelle virtuelle Maschinen auf ESXi-Hypervisoren angreifen und verschlüsseln. Eine solche High-Speed-Attacke benötigte weniger als drei Stunden vom Einbruch bis zur Verschlüsselung.
(Quelle: SWKStock/Shutterstock)
„Dies ist eine der schnellsten Ransomware-Angriffe, die Sophos je untersucht hat, und sie scheint genau auf die ESXi-Plattform abzuzielen", erklärt Andrew Brandt, Principal Researcher bei Sophos. „Python ist eine Programmiersprache, die üblicherweise nicht für Ransomware verwendet wird. Allerdings ist Python auf Linux-basierten Systemen wie ESXi vorinstalliert, so dass Python-basierte Angriffe auf solche Systeme möglich sind. ESXi-Server sind ein attraktives Ziel für Ransomware-Kriminelle, da sie in der Lage sind, mehrere virtuelle Maschinen mit möglicherweise geschäftskritischen Anwendungen oder Diensten gleichzeitig anzugreifen. Angriffe auf Hypervisoren können sowohl schnell als auch äußerst desaströs sein. Ransomware-Gruppen wie DarkSide und REvil haben es bei ihren Angriffen auf ESXi-Server abgesehen.“
Ablauf der Ransomware-Angriffe genau untersucht
Die Untersuchung ergab, dass der Angriff um 0:30 Uhr an einem Sonntag begann, als ein TeamViewer-Konto gekapert wurde, das auf einem Computer lief, auf dem auch Zugangsdaten für den Domain-Administrator vorhanden waren. Nur zehn Minuten später nutzen die Angreifenden das Tool Advanced IP Scanner, um nach Zielen im Netzwerk zu suchen. Die SophosLabs gehen davon aus, dass der ESXi-Server im Netzwerk verwundbar war, weil er über ein Active Shell verfügte, eine Programmierschnittstelle, die IT-Teams für Befehle und Updates verwenden.
Dadurch konnten die Cyberkriminellen ein sicheres Netzwerkkommunikationstool namens Bitvise auf dem Rechner des Domänenadministrators installieren, das ihnen Fernzugriff auf das ESXi-System einschließlich des Speichers ermöglichte, der von den virtuellen Maschinen verwendet wurde. Gegen 3:40 Uhr morgens begannen die Ransomware-Angriffe, hierbei wurde die Ransomware aktiviert und verschlüsselte Festplatten der ESXi-Server.
Bewährte Sicherheitspraktiken verfolgen
„Administratoren, die ESXi oder andere Hypervisoren in ihren Netzwerken betreiben, sollten bewährte Sicherheitspraktiken befolgen. Dazu gehört die Verwendung von sicheren Passwörtern und der Einsatz einer Multi-Faktor-Authentifizierung, wo immer dies möglich ist“, rät Brandt. „Die ESXi-Shell kann und sollte immer dann deaktiviert werden, wenn sie von den Mitarbeiter:innen nicht für routinemäßige Wartungsarbeiten verwendet wird, zum Beispiel während der Installation von Patches. Das IT-Team kann dies entweder über die Steuerelemente der Server-Konsole oder über die vom Hersteller bereitgestellten Software-Management-Tools steuern.“
Endpoint-Sicherheitslösungen, wie Sophos Intercept X, schützen Systeme, indem sie die Aktionen und Verhaltensweisen von Ransomware und anderen Angriffen erkennen. Der Versuch, Dateien zu verschlüsseln, wird entsprechend blockiert. Spezielle Sicherheitshinweise für ESXi-Hypervisoren sind hier online verfügbar. Sophos empfiehlt die folgenden Standard-Best-Practices, die vor Ransomware-Angriffe und damit verbundenen Cyberattacken schützen:
Sicherheit auf strategischer Ebene
Einsatz eines mehrschichtigen Schutzes: Es ist wichtiger denn je, Angriffe von vornherein fernzuhalten oder sie so frühzeitig zu entdecken, dass sie keinen Schaden anrichten können. Ein mehrschichtiger Schutz hilft, Attacken an möglichst vielen Stellen im Unternehmen zu erkennen und zu blockieren.
Kombination von menschlichen Experten und Anti-Ransomware-Technologie: Der Schlüssel ist eine umfassende Verteidigung, die eine spezielle Anti-Ransomware-Technologie und eine von Menschen geführte Bedrohungsjagd kombiniert. Die Technologie inkludiert den Umfang und die Automatisierung, die ein Unternehmen heute zum Schutz benötigt und kombiniert dies mit menschlichen Experten, die in der Lage sind, die verräterischen Taktiken, Techniken und Verfahren der Angriffe zu erkennen. Unternehmen, deren eigenes IT- oder Sicherheitsteam nicht über diese speziellen Fähigkeiten verfügt, können auf die Unterstützung von externen Cybersicherheits-Experten zählen.
Sicherheit auf taktischer Ebene
Überwachung und Reaktion auf Warnungen: Unternehmen sollten sicherstellen, dass Tools, Prozesse, Ressourcen und Expert:innen zur Verfügung stehen, um Bedrohungen in der Umgebung zu überwachen, zu untersuchen und darauf zu reagieren. Ransomware-Gruppen planen ihre Angriffe oft außerhalb der Stoßzeiten, an Wochenenden oder in den Ferien, da sie davon ausgehen, dass nur wenige oder gar keine Mitarbeiter:innen aufpassen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Sichere Passwörter im gesamten Unternehmen: Passwörter sollten einmalig oder komplex sein und nie mehrfach verwendet werden. Die Organisation von Passwörtern lässt sich mit einem Passwort-Manager leichter bewerkstelligen.
Einsatz der Multifaktor-Authentifizierung (MFA): Selbst starke Passwörter können kompromittiert werden. Jede Form der Multifaktor-Authentifizierung ist besser als gar keine, um den Zugang zu wichtigen Ressourcen wie E-Mail, Remote-Management-Tools und Netzwerkressourcen zu sichern.
Dienste für Zugänge sperren: Mit Netzwerk-Scans lassen sich Ports, die häufig von VNC, RDP oder anderen Fernzugriffstools verwendet werden identifizieren und anschließend sperren. Wenn ein Rechner über ein Remote-Management-Tool erreichbar sein muss, sollte dieses Tool mit einem VPN oder einer Netzwerkzugangslösung, die MFA als Teil der Anmeldung verwendet, eingerichtet werden.
Segmentierung und Zero-Trust: Kritische Server sollten voneinander und von Workstations getrennt sein, indem separate VLANs eingebunden werden und konsequent auf das Zero-Trust-Netzwerkmodell hingearbeitet wird.
Erstellen von Offline-Backups von Informationen und Anwendungen: Es gilt, Backups auf dem neuesten Stand zu halten und die Wiederherstellbarkeit sicherzustellen. Zudem sollte eine Kopie offline aufbewahrt werden.
Inventarisierung von Vermögenswerten und Konten: Unbekannte, ungeschützte und nicht gepatchte Geräte im Netzwerk erhöhen das Risiko und schaffen eine Situation, in der bösartige Aktivitäten unbemerkt bleiben könnten. Eine Bestandsaufnahme aller angeschlossenen Recheninstanzen ist unerlässlich. Nützlich dafür sind Netzwerk-Scans, IaaS-Tools und physische Überprüfungen, um alle Komponenten zu lokalisieren, zu katalogisieren und um einen Endpoint-Schutz auf allen Rechnern, die nicht geschützt sind, einzurichten.
Korrekte Konfiguration der Sicherheitslösungen: Unzureichend geschützte Systeme und Geräte sind anfällig. Es ist wichtig sicherzustellen, dass die Sicherheitslösungen ordnungsgemäß konfiguriert sind und die Sicherheitsrichtlinien regelmäßig überprüft, validiert und aktualisiert werden. Neue Sicherheitsfunktionen werden nicht immer automatisch aktiviert. Der Manipulationsschutz sollte nie deaktiviert werden und es sollten keine umfassenden Erkennungsausschlüsse konfiguriert werden, die einem Angreifer die Arbeit erleichtern.
Prüfen des Active Directory: Wichtig ist eine regelmäßige Prüfung aller Konten im Active Directory sowie sicherzustellen, dass keine Konten über mehr Zugriffsberechtigungen verfügen, als für den jeweiligen Zweck erforderlich. Konten von ausscheidenden Mitarbeitern sollten deaktiviert werden, sobald diese das Unternehmen verlassen.
Patchen: Windows und andere Betriebssysteme und Software sollten immer auf dem neuesten Stand sein. Zudem ist es wichtig, dass Patches sowohl korrekt installiert wurden als auch für kritische Systeme wie Rechner mit Internetanschluss oder Domänencontroller überhaupt vorhanden sind.
:quality(80)/p7i.vogel.de/wcms/ee/2a/ee2a4330704db57c76d54b56ba053b64/ki-20scecurity-werckmeister-adobestock-856209725-mitki-996x560v1.jpeg "(Bild: © Werckmeister/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/78/8a78468c62a931671d98272ea2d9d121/agentic-20ai-2april-adobestock-1144892338-neu-1200x675v1.jpeg "(Bild: © 2April/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/a1/c6a11bef5366c7a705af250f964aacd5/automation-tadamichi-adobestock-1088483877-neu-1200x675v1.jpeg "(Bild: © tadamichi/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/e9/f1e98b953f620f73a70286cc1227d951/taiping-20life-20insurance-vertriebsportal-16-9-871x490v1.jpeg "KI-gestützte Vertriebsplattform für Versicherungsagenten Beidou. (Bild: Taiping Life Insurance)")
:quality(80)/p7i.vogel.de/wcms/2a/d4/2ad47032439376dc4b2a43fc309a4b6d/content-systeme-20im-20umbruch-16-9-2357x1327v1.jpeg "(Bild: freepik/Freepik)")
:quality(80)/p7i.vogel.de/wcms/be/6a/be6ac8dbe306ac37ee550574ba632e7c/ceyoniq-nscale-16-9-1500x843v1.jpeg "Nach der Early-Access-Phase steht nscale CLM ab sofort in einer Vollversion zur Verfügung. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/b5/bc/b5bcd89014947ba7a8dcd3c40f733887/finanzbuchhaltung-baiboon-adobestock-844754938-mitki-996x560v1.jpeg "(Bild: © Baiboon/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/78/8b/788bc27578eb8e659925e56165d45bcb/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/81/ae8117326fa2d2cfb741c93eec84e301/derz-chatgpt-nis-2-16-9-1200x675v1.jpeg "(Bild: generiert mit ChatGPT)")
:quality(80)/p7i.vogel.de/wcms/88/19/8819dcd73a4fb9f0cee3f9ceb164d09e/rechenzentrum-nurionstudio-adobestock-990833600-mitki-1056x594v1.jpeg "(Bild: © nurionstudio/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40f4ee2e9a7c7961a4129669ace575c/recruiting-kunakorn-adobestock-588426794-neu-999x562v1.jpeg "(Bild: © kunakorn/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/4a/8c4a3cc0640eba8becdb813710412a8d/2026-06-csp-thementage-keyvisual-1677198687-2899x1632v1.jpeg "(Bild: ADN Advanced Digital Network Distribution GmbH)")
:quality(80)/p7i.vogel.de/wcms/15/2b/152ba0e37025c431f019ab3a166d2416/adobestock-1866319603-master1305-employer-branding-923x519v1.jpeg "(Bild: © master1305/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/e0/02e0253de738dc54cabc95e02b53eb51/cenit-20ag-martin-20thiel-16-9-977x550v1.jpeg "Martin Thiel wird als neuer CEO der Unternehmensgruppe zum 1. Mai 2026 antreten. (Bild: Cenit Gruppe)")
:quality(80)/p7i.vogel.de/wcms/8c/81/8c812149a8cf23be383184b1da53a55d/mhp-shutterstock-gorodenkoff-16-9-1126x633v1.jpeg "Die Mehrheit der Unternehmen treiben Post-Quantum-Kryptographie bereits aktiv voran – vom Pilotprojekt bis zur Migration. (Bild: Gorodenkoff/Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/e9/4d/e94d46aa750d5b4b9eff39ac86f3021e/quantencomputer-graphicview35-adobestock-1620461863-mitki-1165x655v1.jpeg "(Bild: © graphicview35/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d0/c9/d0c9db33dd29e147f8bfb10108d298c3/adobestock-1331550778-iman00-post-quantum-kryptografie-999x562v1.jpeg "(Bild: © Iman00/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/eb/29eb4c9076f5e31b20cc698b6629cd49/fortinet-20os-grafik-16-9-1559x876v1.jpeg "FortiOS ist ein Quantum-Safe-Betriebssystem, das als grundlegende Engine der Security-Fabric-Plattform von Fortinet dient. (Bild: Fortinet)")
:quality(80)/p7i.vogel.de/wcms/29/91/2991e12c4143d67380b22e5a28aa2fde/schwarz-20digits-siemens-cedrik-20neike-bernie-20wagner-16-9-1200x674v1.jpeg "Cedrik Neike (links), Mitglied des Vorstands der Siemens AG und CEO von Siemens Digital Industries, und Bernie Wagner, CSO von Schwarz Digits, nach der Vertragsunterzeichnung auf der Hannover Messe 2026. (Bild: Jonathan Schule/Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/8f/de/8fde5edde5492f172f910a88df4ec6bd/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/2b/81/2b818b5f7ba733b3e1cb4f28959a71ab/digital-souvereignty-washing-16-9-1200x674v1.jpeg "(Bild: Generiert mit Claude Opus)")
:quality(80)/p7i.vogel.de/wcms/f0/34/f03477aa0801c854ace360a8bb3ac798/digital-wrightstudio-adobestock-282405948-neu-1200x675v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/4c/154c59eaef05d575d589cb226be21300/mkd-auftakt-20im-20klinikum-20aschaffenburg-16-9-1152x647v1.jpeg "Die beteiligten Partner von Mein-Krankenhaus.Digital (MKD) beim Auftakt im Klinikum Aschaffenburg. (Bild: Klinik IT eG)")
:quality(80)/p7i.vogel.de/wcms/cc/5b/cc5b1cb944ed35aea7d845615d1a590a/adobestock-1808356611-jafaewafa-digital-health-cloud-klinik-996x560v1.jpeg "(Bild: © jafaewafa/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/ca/edca4b162f9e6fcb70e2ce992f0fc191/schwarz-20digits-charite-1779x1000v1.jpeg "(Bild: )")
:quality(80)/p7i.vogel.de/wcms/09/03/0903ce87036011b833ac01227be46f45/robotik-anastasiia-adobestock-831949885-mitki-1067x600v1.jpeg "(Bild: © Anastasiia/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d7/7e/d77ee857fc2f2f80cfd828c0c22db8c7/deutsche-20telekom-gr-c3-bcne-20ki-1296x728v1.jpeg "Künstliche Intelligenz kann die Energieeffizienz verbessern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/66/c7/66c75cc78c7668b95e086f670e0f1a65/nachhaltigkeit-supatman-adobestock-896256258-neu-1200x675v1.jpeg "(Bild: © Supatman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/dd/01dd47904948c7e4bde7592a5975591a/deutscher-nachhaltigkeitspreis-preisstatuette-fotocredit-frank-fendler-1000x563v1.jpeg "(Bild: Frank Fendler)")
:quality(80)/p7i.vogel.de/wcms/18/57/1857a82b6e8a7046aaf37a4049d6647e/uhv-leitstelle-foto-20state-20grid-20corp-16-9-1200x675v1.jpeg "Die State Grid Corporation of China betreibt ein Netz von Leitstellen und Kontrollzentren, um die Stromversorgung für über 1,1 Milliarden Menschen in China zu sichern. (Bild: State Grid Corp.)")
:quality(80)/p7i.vogel.de/wcms/aa/b0/aab0ec0eaf83c39c6f914d89f7663dab/adobestock-1727240800-studio-zenith-mitarbeiterkontrolle-996x560v1.jpeg "(Bild: © Studio Zenith/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/b6/9bb6e08e8817f967f2f1984b3c0667b0/adobestock-1380098923-kras99-shadow-ai-684x385v1.jpeg "(Bild: © kras99/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/f9/69f9bb99caa38/xsuite-logo-blue-01-rgb-300x300.jpeg "xsuite-logo-blue-01-rgb-300x300 (xSuite)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5e/a4/5ea49128be5ab8a047b6e3a58e235a4d/cyberangriffe-ali-adobestock-897871503-mit-20ki-996x560v1.jpeg "cyberangriffe-ali-adobestock-897871503-mit-20ki-996x560v1 (Bild: © Ali/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/23/e5/23e5f82d6463ad84cbb0ca3e534d1449/itdr-imageflow-adobestock-1387104799-neu-1067x600v1.jpeg "itdr-imageflow-adobestock-1387104799-neu-1067x600v1 (Bild: © ImageFlow/stock.adobe.com )")