EDRKillShifter: Wiederkehr eines gefährlichen Ransomware-Tools
Ein von der Ransomware-Gruppe RansomHub entwickeltes Tool mit dem Namen EDRKillShifter verbreitet sich derzeit rasant innerhalb der Cybercrime-Szene. Inzwischen setzen auch andere Akteure das Werkzeug ein, um gezielt Sicherheitssoftware auf kompromittierten Systemen zu deaktivieren – ein kritischer Schritt zur Vorbereitung von Ransomware-Angriffen.
Nach Angaben von ESET lässt sich eine technische Verbindung zwischen mehreren Ransomware-Gruppen wie Medusa, BianLian und Play feststellen. Gemeinsam ist ihnen der Einsatz von EDRKillShifter – einem Tool, das erstmals im August 2024 bei Angriffen der Gruppe RansomHub dokumentiert wurde.
Das Werkzeug nutzt die bereits länger bekannte Angriffstechnik Bring Your Own Vulnerable Driver (BYOVD): Dabei wird ein legitimer, jedoch verwundbarer Gerätetreiber verwendet, um Schutzmechanismen wie EDR (Endpoint Detection and Response) gezielt auszuschalten.
Ziel dieser Maßnahme ist es, die Ausführung der Ransomware unter Umgehung gängiger Sicherheitslösungen zu ermöglichen. Laut ESET verfolgen die Angreifer dabei das Ziel, sich Administrator- oder Domänenadministratorrechte zu verschaffen – eine klassische Eskalationsstufe bei gezielten Angriffen.
In einem aktuellen Analysebericht schreiben die ESET-Forscher Jakub Souček und Jan Holman: „Ransomware-Gruppen vermeiden größere Änderungen an ihren Verschlüsselungsmodulen, um keine instabilen Varianten zu erzeugen. Stattdessen setzen sie auf vorgelagerte Manipulationen wie den Einsatz von EDR-Killern, um die Wirksamkeit ihrer Angriffe zu erhalten.“
Besonders auffällig ist, dass EDRKillShifter, ursprünglich von RansomHub für den internen Gebrauch sowie für Partnergruppen entwickelt, nun auch in Angriffen der Gruppen Medusa, BianLian und Play zum Einsatz kommt. Die Weitergabe eines maßgeschneiderten Werkzeugs dieser Art gilt in der Szene als ungewöhnlich.
Eine Schattenfigur hinter mehreren Kampagnen?
Die Situation wird zusätzlich dadurch brisant, dass sowohl Play als auch BianLian nach einem geschlossenen Ransomware-as-a-Service-Modell operieren. Neue Partner werden nicht aufgenommen, und das eingesetzte Arsenal wird üblicherweise nicht mit außenstehenden Akteuren geteilt.
Laut ESET mehren sich die Hinweise, dass einzelne vertrauenswürdige Mitglieder dieser Gruppen Werkzeuge anderer Bedrohungsakteure übernehmen – darunter auch von neueren Gruppierungen wie RansomHub – und sie in eigenen Operationen einsetzen. Das stellt eine Abweichung vom üblichen Verhalten dieser Gruppen dar.
Ein möglicher Grund: mehrere der analysierten Angriffe tragen deutliche Spuren eines einzelnen Operators, der unter dem Pseudonym QuadSwitcher geführt wird. Seine Vorgehensweise erinnert stark an typische Play-Kampagnen, was auf eine direkte Verbindung hindeutet.
Zudem wurde EDRKillShifter auch in drei dokumentierten Fällen durch einen weiteren Angreifer mit dem Alias CosmicBeetle eingesetzt – sowohl in echten RansomHub-Angriffen als auch bei inszenierten Kampagnen, die wie Angriffe der Gruppe LockBit erscheinen sollten.
BYOVD bleibt populär
Die Wiederverwendung von BYOVD-Techniken fällt in eine Phase, in der immer mehr Ransomware-Akteure auf diese Methode setzen. Ziel ist jeweils die Implementierung eines EDR-Killers auf bereits kompromittierten Systemen, um einer Erkennung durch Sicherheitslösungen zuvorzukommen.
So setzte beispielsweise die Gruppe Embargo im vergangenen Jahr das Tool MS4Killer zur Deaktivierung von Schutzsoftware ein. Auch Medusa wurde jüngst mit einem eigens entwickelten Treiber namens ABYSSWORKER in Verbindung gebracht.
Wie ESET betont, ist der erfolgreiche Einsatz solcher Werkzeuge auf vorhandene Administratorrechte angewiesen. Sicherheitsverantwortliche sollten daher proaktiv handeln: „Unternehmen sollten ihre Systeme so konfigurieren, dass potenziell unsichere Anwendungen und Treiber erkannt und blockiert werden. Dadurch lässt sich verhindern, dass gefährliche Gerätetreiber überhaupt installiert werden.“