Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Medusa-Ransomware schaltet Antivirenlösungen aus : Elastic entdeckt neue EDR-Killer-Techniken

Die Drahtzieher hinter der Medusa-Ransomware-as-a-Service-Kampagne setzen gezielt auf einen schädlichen Treiber namens ABYSSWORKER, um Sicherheitslösungen lahmzulegen. Dabei nutzen sie eine besonders raffinierte BYOVD-Taktik, bei der gezielt Schwachstellen in legitimen Treibern ausgenutzt werden.

Stefan MutschlerBedrohungen
Lesezeit 4 Min.
Digitales Kunstwerk eines Frauengesichts mit leuchtenden Augen und Schlangenhaaren, das an Medusa erinnert und die Tarnung der Medusa-Ransomware verkörpert. Der Hintergrund zeigt ein Leiterplattendesign mit Binärzahlen, das Mythologie und Technologie nahtlos miteinander verbindet.

Elastic Security Labs berichtet von einem Medusa-Ransomware-Angriff, bei dem der Verschlüsselungstrojaner über einen Loader eingeschleust wurde. Dieser Loader war mit einem sogenannten Packer-as-a-Service (PaaS) namens HeartCrypt gepackt.

„Dieser Loader wurde zusammen mit einem von uns ABYSSWORKER getauften Treiber ausgeliefert, der mit einem widerrufenen Zertifikat eines chinesischen Anbieters signiert war. Er wird auf dem Zielsystem installiert und gezielt eingesetzt, um verschiedene EDR-Lösungen (Endpoint Detection and Response) auszuschalten“, heißt es im Papier des Unternehmens.

Der Treiber mit dem Dateinamen „smuol.sys“ gibt sich gezielt als der legitime Falcon-Treiber „CSAgent.sys“ von CrowdStrike aus. Zwischen dem 8. August 2024 und dem 25. Februar 2025 wurden auf der Plattform VirusTotal Dutzende Spuren der Schadsoftware ABYSSWORKER entdeckt. Alle gefundenen Dateien sind mit digitalen Signaturen versehen, die vermutlich mit gestohlenen und mittlerweile widerrufenen Zertifikaten chinesischer Firmen erstellt wurden.

Dass die Schadsoftware überhaupt signiert ist, verleiht ihr auf den ersten Blick eine gewisse Vertrauenswürdigkeit – und ermöglicht es ihr, viele Sicherheitssysteme unbemerkt zu umgehen. Bemerkenswert ist zudem, dass der EDR-ausschaltende Treiber bereits im Januar 2025 von ConnectWise unter dem Namen „nbwdv.sys“dokumentiert wurde.

Nach der Initialisierung fügt ABYSSWORKER die eigene Prozess-ID einer globalen Liste geschützter Prozesse hinzu und beginnt, eingehende I/O-Steuerbefehle (Input/Output Control Requests) zu überwachen. Diese werden dann je nach I/O-Control-Code an spezifische Handler weitergeleitet.

„Diese Handler decken ein breites Spektrum ab – von Dateimanipulation über das Beenden von Prozessen bis hin zur Deaktivierung von Treibern – und bilden damit ein umfassendes Toolkit, um EDR-Systeme gezielt auszuschalten oder dauerhaft außer Gefecht zu setzen“, so Elastic.

Die folgende Liste zeigt einige der vom Treiber unterstützten I/O-Control-Codes:

  • 0x222080 – Aktiviert den Treiber durch Übermittlung eines Passworts:
    „7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X“
  • 0x2220c0 – Lädt benötigte Kernel-APIs
  • 0x222184 – Kopiert eine Datei
  • 0x222180 – Löscht eine Datei
  • 0x222408 – Beendet System-Threads anhand des Modulnamens
  • 0x222400 – Entfernt Notification Callbacks anhand des Modulnamens
  • 0x222144 – Beendet einen Prozess über seine Prozess-ID
  • 0x222140 – Beendet einen Thread über seine Thread-ID
  • 0x222084 – Deaktiviert Schadsoftware
  • 0x222664 – Startet das System neu

Besonders hervorzuheben ist der Code 0x222400, der gezielt alle registrierten Notification Callbacks sucht und entfernt – ein Trick, mit dem sich Sicherheitslösungen regelrecht „blenden“ lassen. Diese Technik wird auch von anderen EDR-Deaktivierungs-Tools wie EDRSandBlast und RealBlindingEDR eingesetzt.

Die Erkenntnisse basieren auf einem Bericht von Venak Security. Darin wird beschrieben, wie Angreifer einen zwar legalen, aber anfälligen Kernel-Treiber ausnutzen, der mit der Antivirensoftware ZoneAlarm von Check Point zusammenhängt. Mithilfe eines sogenannten BYOVD-Angriffs („Bring Your Own Vulnerable Driver“) verschaffen sie sich höhere Systemrechte und schalten wichtige Sicherheitsfunktionen von Windows aus – darunter auch die Speicherintegrität (Memory Integrity).

Mit diesen erweiterten Rechten richteten die Angreifer anschließend eine Verbindung über das Remote Desktop Protocol (RDP) zum kompromittierten System ein – und konnten sich so dauerhaft Zugriff verschaffen. Die Schwachstelle wurde mittlerweile von Check Point geschlossen.

„Da vsdatant.sys mit weitreichenden Kernel-Rechten arbeitet, konnten die Angreifer dessen Schwachstellen ausnutzen, um Sicherheitsmechanismen und Antivirensoftware zu umgehen und vollständige Kontrolle über die infizierten Systeme zu erlangen“, so das Unternehmen. „Sobald diese Schutzmaßnahmen ausgehebelt waren, hatten die Angreifer uneingeschränkten Zugriff auf das System und konnten sensible Informationen wie Benutzerpasswörter und andere gespeicherte Zugangsdaten auslesen. Diese Daten wurden anschließend exfiltriert, was weitere Angriffe ermöglichte.“

Check Point Software erklärte, dass der betroffene Treiber veraltet sei und in aktuellen Versionen der eigenen Produkte nicht mehr verwendet werde. „Der von Venak Security genannte Treiber (vsdatant.sys, Version 14.1.32.0) ist in unseren aktuellen Produkten nicht mehr enthalten“, teilte das Unternehmen mit. „Wer die neueste Version von ZoneAlarm oder Harmony Endpoint nutzt, ist nicht betroffen – diese enthalten aktualisierte Treiber, in denen das Problem bereits behoben wurde.“

„Nach eingehender Prüfung können wir bestätigen, dass alle in den vergangenen acht Jahren veröffentlichten Versionen nicht von dieser Schwachstelle betroffen sind. Für vollständigen Schutz empfehlen wir dringend, stets die neueste Version von Check Point ZoneAlarm oder Harmony Endpoint zu verwenden – diese enthalten verbesserte Schutzmechanismen gegen BYOVD-Angriffe.“

Auch RansomHub mit ähnlich gelagerten Angriffen unterwegs

Die Entwicklung steht im Zusammenhang mit neuen Erkenntnissen über die Ransomware-Gruppe RansomHub, auch bekannt als Greenbottle oder Cyclops. Mindestens ein Partner der Gruppe soll ein bislang unbekanntes Schadprogramm namens „Betruger“ eingesetzt haben – eine Backdoor mit mehreren Funktionen.

Dieses Schadprogramm verfügt speziell über solche Funktionen, die typisch für Malware sind, die vor einem eigentlichen Ransomware-Angriff zum Einsatz kommt. Dazu gehören unter anderem das Erstellen von Screenshots, Keylogging, Netzwerkscans, Rechteausweitung, das Auslesen von Zugangsdaten und die Datenexfiltration auf einen entfernten Server.

„Die Funktionen von Betruger zeigen, dass die Backdoor so entwickelt wurde, dass Angreifer weniger zusätzliche Werkzeuge benötigen, um ein Zielnetzwerk für einen Ransomware-Angriff vorzubereiten“, so das Broadcom-Unternehmen Symantec. Damit unterscheide sich Betruger vom Vorgehen vieler anderer Gruppen, die meist separate Programme nur für die Datenexfiltration einsetzen.

„Es ist eher ungewöhnlich, dass bei Ransomware-Angriffen speziell entwickelte Schadsoftware zum Einsatz kommt – abgesehen von den eigentlichen Verschlüsselungswerkzeugen“, so Symantec weiter. „Die meisten Angreifer nutzen stattdessen vorhandene Systemfunktionen, bereits installierte Software (Living off the Land) oder frei verfügbare Tools wie Mimikatz oder Cobalt Strike.“

Weitere Artikel:

RansomHub Group deaktiviert jetzt EDR

Gestaltend statt getrieben

CosmicBeetle kooperiert für neue ScRansom-Ransomware mit RansomHub

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.