Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

RansomHub Group deaktiviert jetzt EDR

Eine Cybercrime-Gruppe, die mit der RansomHub-Ransomware in Verbindung steht, wurde dabei beobachtet, wie sie ein neues Tool einsetzt, um die Endpoint-Detection-and-Response-(EDR)-Software auf gehackten Computern auszuschalten. Dieses Tool gehört zu einer Reihe ähnlicher Programme, zu denen auch AuKill (auch als AvNeutralizer bekannt) und Terminator gehören.

Bedrohungen
Lesezeit 2 Min.

Die Cybersicherheitsfirma Sophos hat das Tool, das EDR-Systeme deaktiviert, als EDRKillShifter bezeichnet. Es wurde im Zusammenhang mit einem gescheiterten Ransomware-Angriff im Mai 2024 entdeckt. „Das EDRKillShifter-Tool ist eine ‚Loader‘-Anwendung – ein Mechanismus, um einen anfälligen, legitimen Treiber auszuliefern (auch bekannt als ‚bring your own vulnerable driver‘ oder BYOVD-Tool)“, so der Sicherheitsexperte Andreas Klopsch. „Je nach Anforderungen des Angreifers kann es verschiedene Treiber-Payloads ausliefern.“

RansomHub, vermutlich ein Rebranding der Knight-Ransomware, tauchte im Februar 2024 auf und nutzte bekannte Sicherheitslücken aus, um Zugang zu Systemen zu erhalten und legitime Fernzugriffssoftware wie Atera und Splashtop für persistente Zugriffe zu installieren.

Letzten Monat enthüllte Microsoft, dass das berüchtigte E-Crime-Syndikat Scattered Spider Ransomware-Varianten wie RansomHub und Qilin in sein Arsenal aufgenommen hat.

Das Tool wird über die Befehlszeile mit einem Passwort ausgeführt. Es entschlüsselt eine eingebettete Datei namens BIN und führt sie im Arbeitsspeicher aus. Diese BIN-Datei entpackt und startet eine verschleierte Schadsoftware, die verschiedene anfällige, legitime Treiber nutzt, um höhere Berechtigungen zu erhalten und die EDR-Software auszuschalten. „Die Sprache der Binärdatei ist Russisch, was darauf hinweist, dass der Malware-Autor die ausführbare Datei auf einem Computer mit russischen Ländereinstellungen kompiliert hat“, so Klopsch. „Alle entpackten EDR-Killer betten einen anfälligen Treiber im .data-Abschnitt ein.“

Um sich vor dieser Bedrohung zu schützen wird empfohlen, die Systeme stets auf dem neuesten Stand zu halten, die Manipulationsschutz-Funktion in der EDR-Software zu aktivieren und gute Sicherheitspraktiken für Windows-Rollen anzuwenden. „Dieser Angriff ist nur möglich, wenn der Angreifer Privilegien eskaliert, die er kontrolliert, oder wenn er Administratorrechte erlangen kann“, so Klopsch. „Die Trennung zwischen Benutzer- und Administratorrechten kann verhindern, dass Angreifer leicht Treiber laden können.“

Unterdessen verbreiten Bedrohungsakteure bereits eine neue, versteckte Malware namens SbaProxy. Sie modifizieren dazu legitime Antiviren-Programme von BitDefender, Malwarebytes und Sophos und signieren die Dateien mit gefälschten Zertifikaten neu, um als Teil einer fortlaufenden Kampagne Proxy-Verbindungen über einen Command-and-Control-Server (C2) herzustellen.

SbaProxy richtet eine Proxy-Verbindung zwischen Client und Ziel ein, wobei der Verkehr durch den C2-Server und die infizierte Maschine geleitet wird. Die Malware unterstützt nur TCP-Verbindungen.

„Diese Bedrohung hat erhebliche Auswirkungen, da sie genutzt werden kann, um Proxy-Dienste zu schaffen, die bösartige Aktivitäten erleichtern und möglicherweise zu Profit-Zwecken verkauft werden können“, so AT&T LevelBlue Labs. „Dieses Tool, das in verschiedenen Formaten wie DLLs, EXEs und PowerShell-Skripten verteilt wird, ist aufgrund seines ausgeklügelten Designs und legitimen Erscheinungsbilds schwer zu erkennen.“

Diesen Beitrag teilen: