EDR-Killer: Ein zunehmender Trend bei Ransomware-Angriffen

EDRKillShifter steht für einen wachsenden Trend im Ransomware-Ökosystem, nämlich den Einsatz spezialisierter Tools, die darauf ausgelegt sind, Endpoint Detection and Response (EDR)-Systeme zu deaktivieren oder zu umgehen. Diese EDR-Killer bestehen in der Regel aus einer Benutzermodus-Komponente zur Koordinierung und einem legitimen, aber anfälligen Treiber, um bösartige Aktionen aus dem Kernelmodus auszuführen.

Die Forscher stellten fest, dass es zwar über 1.700 bekannte anfällige Treiber gibt, aber nur eine Handvoll davon häufig von EDR-Killern missbraucht werden.

Dies deutet darauf hin, dass Bedrohungsakteure es vorziehen, getesteten Exploit-Code wiederzuverwenden, anstatt neue Techniken von Grund auf neu zu entwickeln.

Eine neue Analyse hat Verbindungen zwischen Mitgliedern von RansomHub und anderen Ransomware-Gruppen wie Medusa, BianLian und Play aufgedeckt.

Die Verbindung ergibt sich aus der Verwendung eines benutzerdefinierten Tools, das laut ESET dazu dient, die Software zur Erkennung und Reaktion von Endpunkten (EDR) auf kompromittierten Hosts zu deaktivieren. Das EDR-Tötungstool mit dem Namen EDRKillShifter wurde erstmals im August 2024 von RansomHub-Akteuren verwendet.

EDRKillShifter erreicht seine Ziele mithilfe einer bekannten Taktik namens „Bring Your Own Vulnerable Driver“ (BYOVD), bei der ein legitimer, aber anfälliger Treiber verwendet wird, um Sicherheitslösungen zu beenden, die die Endpunkte schützen.

Der Zweck solcher Tools besteht darin, die reibungslose Ausführung von Ransomware-Verschlüsselungsprogrammen sicherzustellen, ohne von Sicherheitslösungen entdeckt zu werden.

„Bei einem Angriff versuchen die Angreifer, Administrator- oder Domain-Administratorrechte zu erlangen“, erklärten die ESET-Forscher Jakub Souček und Jan Holman.

Da Ransomware-Betreiber befürchten, dass umfassende Updates ihrer Verschlüsselungsprogramme Fehler verursachen und ihrem Ruf schaden könnten, nehmen sie nur selten größere Änderungen vor. Dadurch werden die Programme zunehmend von Sicherheitslösungen erkannt. Um dem entgegenzuwirken, setzen ihre Partner sogenannte EDR-Killer ein, die die Sicherheitssoftware unmittelbar vor der Ausführung des Verschlüsselungsprogramms deaktivieren.

Die Entdeckung von Verbindungen zwischen RansomHub und etablierten Ransomware-Banden durch gemeinsam genutzte Tools verdeutlicht die komplexe und vernetzte Natur des Ransomware-Ökosystems.

Bemerkenswert ist hier, dass ein maßgeschneidertes Tool, das von den Betreibern von RansomHub entwickelt und seinen Partnern angeboten wurde – was an sich schon ein seltenes Phänomen ist – bei anderen Ransomware-Angriffen im Zusammenhang mit Medusa, BianLian und Play eingesetzt wird.

Dieser Aspekt ist von besonderer Bedeutung, da sowohl Play als auch BianLian nach dem geschlossenen RaaS-Modell arbeiten, bei dem die Betreiber nicht aktiv nach neuen Partnern suchen und ihre Partnerschaften auf langfristigem gegenseitigem Vertrauen basieren.

„Vertrauenswürdige Mitglieder von Play und BianLian arbeiten mit Konkurrenten zusammen, sogar mit neu entstandenen wie RansomHub, und verwenden dann die Tools, die sie von diesen Konkurrenten erhalten, für ihre eigenen Angriffe“, vermutet ESET. “Dies ist besonders interessant, da solche geschlossenen Banden bei ihren Angriffen in der Regel eine Reihe von Kernwerkzeugen verwenden.“

Es wird vermutet, dass all diese Ransomware-Angriffe von demselben Bedrohungsakteur namens QuadSwitcher durchgeführt wurden, der wahrscheinlich mit Play in Verbindung steht, da Ähnlichkeiten in der Vorgehensweise bestehen, die typischerweise mit Play-Einbrüchen in Verbindung gebracht werden.

EDRKillShifter wurde auch von einem anderen Ransomware-Partner namens CosmicBeetle im Rahmen von drei verschiedenen RansomHub- und gefälschten LockBit-Angriffen beobachtet.

„Benutzer, insbesondere in Unternehmensumgebungen, sollten sicherstellen, dass die Erkennung potenziell unsicherer Anwendungen aktiviert ist. Dadurch kann die Installation anfälliger Treiber verhindert werden.“

Quelle: ESET

---

Bild/Quelle: https://depositphotos.com/de/home.html