Eine gefährliche Entwicklung in den Taktiken von Ransomware-Banden sorgt für Aufsehen: Ein neues Endpoint Detection and Response (EDR) Killer-Tool, das selbst die fortschrittlichsten Sicherheitslösungen auf kompromittierten Systemen ausschalten kann. Es gilt als Nachfolger von EDRKillShifter, wurde zuerst mit RansomHub in Verbindung gebracht und bereits von acht Ransomware-Gruppen eingesetzt. Ziel ist es, den Weg für Schadsoftware, Rechteausweitung, laterale Bewegung und Datenverschlüsselung freizumachen – unbemerkt von Sicherheitslösungen.
Beteiligte Gruppen
Forscher von Sophos haben RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx und INC als Nutzer dieses Tools identifiziert. Die breite Nutzung zeigt, dass es sich nicht um ein einzelnes, isoliertes Tool handelt, sondern um ein Produkt einer kollaborativen Ransomware-Infrastruktur mit gemeinsam genutzten technischen Ressourcen.
Technische Funktionsweise
Das Tool ist stark verschleiert, decodiert sich zur Laufzeit selbst und injiziert sich in legitime Anwendungen. Es sucht nach einem digital signierten Treiber – gestohlen oder mit abgelaufenem Zertifikat – mit einem zufälligen fünfstelligen Namen, der im Code fest verankert ist. Wird dieser gefunden, lädt das Tool ihn in den Kernel und führt so einen „Bring Your Own Vulnerable Driver“-Angriff (BYOVD) durch. Damit erhält es Kernel-Rechte, um Sicherheitssoftware zu deaktivieren.
Der Treiber tarnt sich als legitime Datei wie der CrowdStrike Falcon Sensor Driver, beendet jedoch Prozesse und stoppt Dienste von Antiviren- und EDR-Tools. Betroffene Anbieter sind unter anderem Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro und Webroot.
Varianten und gemeinsame Entwicklung
Obwohl verschiedene Gruppen leicht angepasste Versionen nutzen – mit unterschiedlichen Treibernamen, Zielanbietern und Kompilierungsmerkmalen – verwenden alle HeartCrypt als Packer. Die Ähnlichkeit der Versionen deutet auf eine koordinierte Entwicklung hin und nicht auf ein einzelnes, geleaktes Binary. Sophos betont, dass jede Attacke eine eigene Build-Version nutzt.
Tool-Sharing in der Ransomware-Szene
Das Teilen und Verkaufen von EDR-Killern ist in der Cyberkriminalität weit verbreitet. Neben EDRKillShifter identifizierte Sophos auch AuKill, eingesetzt von Medusa Locker und LockBit. SentinelOne berichtete, dass FIN7 sein Tool AvNeutralizer an mehrere Gruppen wie BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona und LockBit verkaufte. Solche Tools sind heute zentrale Elemente für erfolgreiche Ransomware-Angriffe.
Bedeutung für die Cybersicherheit
Die schnelle Verbreitung dieses neuen EDR-Killers zeigt, wie flexibel und anpassungsfähig Ransomware-Gruppen sind. Unternehmen können sich nicht allein auf Endpunktschutz verlassen. Notwendig ist ein mehrschichtiges Sicherheitskonzept mit fortschrittlichem Endpoint-Schutz, Netzüberwachung, Threat Intelligence und Incident Response.
Lesen Sie den vollständigen Artikel von BleepingComputer hier.
