Cybersicherheitsexperten haben eine besorgniserregende Entwicklung im Bereich der Ransomware-Angriffe entdeckt. Die Betreiber der Erpressungssoftware RansomHub setzen eine neuartige Schadsoftware namens EDRKillShifter ein, um Endpoint Detection and Response (EDR) Systeme zu deaktivieren. Diese Malware ermöglicht es den Angreifern, sogenannte BYOVD-Attacken (Bring Your Own Vulnerable Driver) durchzuführen und so die Kontrolle über Zielsysteme zu erlangen.
Funktionsweise und Entdeckung von EDRKillShifter
Das Sicherheitsunternehmen Sophos stieß im Mai 2024 bei der Untersuchung eines Ransomware-Vorfalls erstmals auf EDRKillShifter. Die Malware dient als Werkzeug, um anfällige, aber legitime Treiber auf Zielgeräte zu schleusen. Dies ermöglicht es den Angreifern, Berechtigungen zu eskalieren, Sicherheitslösungen zu deaktivieren und letztendlich die Kontrolle über das System zu übernehmen.
Sophos-Experten beobachteten, wie die Angreifer versuchten, mit EDRKillShifter den Sophos-Schutz auf einem Zielcomputer auszuschalten. Obwohl dieser erste Versuch scheiterte, zeigt er das gefährliche Potenzial dieser neuen Malware. Die Forscher entdeckten zwei verschiedene Varianten von EDRKillShifter, die beide auf öffentlich verfügbaren Proof-of-Concept-Exploits von GitHub basieren.
Technische Details und Funktionalität
EDRKillShifter zeichnet sich durch seine Vielseitigkeit aus. Je nach Bedarf der Angreifer kann die Malware verschiedene Payloads ausliefern. Die Analyse der Spracheinstellungen deutet darauf hin, dass die Schadsoftware auf einem Computer mit russischsprachiger Lokalisierung kompiliert wurde.
Der Ablauf eines EDRKillShifter-Angriffs lässt sich in drei Phasen unterteilen:
- Der Angreifer startet die EDRKillShifter-Binärdatei mit einem Entschlüsselungspasswort.
- Ein eingebetteter Ressourcencode namens „BIN“ wird im Speicher entschlüsselt und ausgeführt.
- Die finale Payload wird entpackt und lädt einen anfälligen legitimen Treiber, um Privilegien zu erhöhen und EDR-Prozesse im Zielsystem zu deaktivieren.
Nach der erfolgreichen Installation durchläuft die Malware eine Endlosschleife, in der sie kontinuierlich laufende Prozesse überprüft und gezielt bestimmte Sicherheitsprozesse beendet. Bemerkenswert ist, dass beide entdeckten Varianten legitime, wenn auch verwundbare Treiber verwenden, was die Tarnung der Malware verbessert.
Schutzmaßnahmen gegen BYOVD-Angriffe
Um sich vor EDRKillShifter und ähnlichen BYOVD-Attacken zu schützen, empfehlen Cybersicherheitsexperten folgende Maßnahmen:
- Aktivierung des Manipulationsschutzes in Endpoint-Schutzprodukten
- Strikte Trennung von Benutzer- und Administratorrechten
- Regelmäßige Aktualisierung aller Systeme und Software
- Implementierung einer mehrstufigen Sicherheitsstrategie
Die Entdeckung von EDRKillShifter unterstreicht die ständige Weiterentwicklung von Cyber-Bedrohungen. Unternehmen und Organisationen müssen wachsam bleiben und ihre Sicherheitsmaßnahmen kontinuierlich anpassen, um mit den sich entwickelnden Taktiken der Cyberkriminellen Schritt zu halten. Nur durch proaktive Sicherheitsstrategien und regelmäßige Schulungen können Organisationen ihre digitalen Assets wirksam vor solch ausgeklügelten Angriffen schützen.