Eine besonders besorgniserregende Entwicklung ist der Einsatz von sogenannten „EDR-Killern“. Darunter versteht man Funktionen, mit denen Sicherheitslösungen wie Endpoint Detection and Response (EDR) gezielt ausgeschaltet werden, noch bevor ein eigentlicher Angriff beginnt.

Durch solche gezielten Maßnahmen verschaffen sich Angreifer einen gewaltigen Vorteil: Sie umgehen die Verteidigungslinien, die eigentlich dafür sorgen sollten, Angriffe zu erkennen und zu stoppen. Ziel ist es, die Schutzmechanismen der betroffenen Unternehmen zu neutralisieren, die Erkennung zu erschweren und so möglichst unbemerkt die Verschlüsselung durchzuführen oder Daten zu stehlen.

RansomHub im Fokus: Modularität und gezielte Sabotage

RansomHub ist ein aktuelles Beispiel für diese neue Angriffsgeneration. Die Gruppe tritt mit einer modular aufgebauten Ransomware auf, die flexibel auf verschiedene Zielumgebungen zugeschnitten werden kann. In ihrer Infrastruktur findet sich eine wachsende Zahl an Tools und Techniken, mit denen sich Verteidigungsmaßnahmen ausschalten lassen. Darunter fallen auch Methoden, um bekannte Sicherheitsprodukte gezielt zu deaktivieren.

Im Zentrum steht dabei das Konzept „Bring Your Own Vulnerable Driver“ (BYOVD). Dabei schleusen Angreifer absichtlich verwundbare Gerätetreiber in das System ein, um über diese Schwachstellen privilegierten Zugriff auf Kernel-Funktionen zu erlangen. Damit lassen sich Schutztechnologien wie Prozessüberwachung oder Speicherintegrität aushebeln. RansomHub nutzt diese Technik gezielt, etwa in Kombination mit öffentlich verfügbaren Tools wie EDRSandblast.

Diese Schadprogramme deaktivieren EDR-Komponenten systematisch, indem sie etwa auf Registry-Einstellungen, Systemdienste oder Prozesse der Sicherheitssoftware zugreifen. Sind diese deaktiviert, erfolgt die Verschlüsselung – oft zusammen mit weiteren Aktionen wie der Löschung von Schattenkopien oder der Manipulation von Backups.

Während viele Ransomware-Gruppen auf komplexe Verschleierungstechniken setzen, verlässt sich RansomHub offenbar darauf, dass die Schutzsysteme bereits ausgeschaltet wurden. Die Malware weist nur eine geringe Code-Verschleierung (Obfuskation) auf und zeigt insgesamt ein relativ unauffälliges Verhalten im Vergleich zu anderen Gruppen. Dies deutet darauf hin, dass der Fokus auf einem erfolgreichen Angriff durch gezielte Sabotage der Verteidigung liegt, nicht auf langfristiger Tarnung.

Vorbereitung auf EDR-Killer: Was Unternehmen konkret tun können

EDR-Killer sind hochentwickelte Angriffswerkzeuge, deshalb braucht es Sicherheitslösungen auf Augenhöhe. Eine wirksame Verteidigung beginnt mit einem präventionsorientierten Sicherheitsansatz und einer mehrschichtigen Architektur, die Bedrohungen in mehreren Angriffsphasen erkennen kann. Die folgenden Maßnahmen sind empfehlenswert:

  • EDR auf Top-Niveau einsetzen: Eine leistungsfähige EDR-Lösung erkennt Schadcode noch vor der Ausführung, beispielsweise wenn dieser anfällige Treiber missbraucht. Aufgrund von Verschleierungstechniken ist das nicht immer zuverlässig möglich.
  • Manipulationsschutz aktivieren: Die Sicherheitslösung sollte nicht von unautorisierten Benutzern deaktiviert oder verändert werden können. Tamper Protection ist hier ein Muss.
  • Verwundbare Treiber blockieren: Durch strenge Richtlinien für potenziell unsichere Anwendungen (PUSA) und dateibasierte Erkennung lässt sich verhindern, dass Schwachstellen ausgenutzt werden. Unternehmen sollten im Idealfall zunächst im Modus „Erkennen, aber nicht bereinigen“ testen und nach gezielten Ausnahmen in den Modus „Erkennen und bereinigen“ wechseln.
  • Patch-Management implementieren: Angreifer nutzen nicht nur selbst eingeschleuste Schwachstellen, sondern greifen auch auf vorhandene verwundbare Treiber im System zurück. Ein konsequentes Schwachstellen- und Patch-Management ist daher essenziell.
  • Application Control härten: Etwa durch Windows Defender Application Control (WDAC), mit dem sich gezielt definieren lässt, welche Treiber überhaupt geladen werden dürfen. Alternativ bieten Plattformen wie ESET einen hostbasierten Intrusion Prevention Mechanismus (HIPS), der Anwendungen über definierte Regeln blockiert.
  • Zugriff auf Sicherheitskonfigurationen begrenzen: Nur autorisierte Administratoren sollten Zugang zu den Sicherheitseinstellungen haben, die idealerweise mit starken Passwörtern abgesichert sind.
  • Umgebung kennen: Wer weiß, welche Software und Prozesse im Unternehmen aktiv sind, kann besser unterscheiden, ob ein Treiber legitim ist oder potenziell schädlich. Dieses Wissen hilft, Fehlalarme zu vermeiden und echte Bedrohungen schneller zu erkennen.

eset_inspect

ESET Inspect: Erkennungsregeln gegen EDR-Killer

Die folgenden Detection-Regeln in ESET Inspect können dabei helfen, Bedrohungen durch EDR-Killer frühzeitig zu erkennen:

  • Loaded Driver from Uncommon Location [D1303]: Erkennt, wenn ein Treiber aus einem ungewöhnlichen Verzeichnis geladen wird, was auf ein Manipulationsversuch hindeuten kann.
  • Possible EDR Blinding – Vulnerable Driver [Q1301]: Erkennt das Laden verwundbarer Treiber, wie sie im Rahmen des RealblindingEDR-Projekts eingesetzt wurden.
  • Vulnerable Driver Masquerading [Q1302] und Vulnerable Zemana Driver Loaded [Q1303]: Diese Regeln identifizieren bekannte Treiber, die in Ransomware-Angriffen missbraucht wurden, und stufen sie als hochgefährlich ein.
  • Loaded Known Vulnerable Driver [D1302]: Schlägt Alarm, wenn legitime, aber bekannte anfällige Treiber geladen werden.

Diese Erkennungen führen im Regelfall zur automatischen Erstellung eines Incidents im ESET PROTECT Ökosystem.

Komplex, aber nicht unkontrollierbar: EDR-Killer beherrschbar machen

Ein präventionsorientierter Ansatz sollte nicht nur auf exzellente Sicherheitsprodukte setzen, sondern auch die Cyberhygiene verbessern und IT-Teams entlasten. Denn die sogenannte „Alarmmüdigkeit“ („Alert Fatigue“) ist ein reales Problem: Wenn Sicherheitsverantwortliche durch zu viele Warnungen überlastet sind, steigt die Gefahr, echte Bedrohungen zu übersehen.

Die ESET PROTECT-Plattform bietet deshalb ein zentrales Dashboard („Single Pane of Glass“), das alle sicherheitsrelevanten Informationen gebündelt anzeigt. Ziel ist es, die Komplexität zu reduzieren – mit weniger Klicks, weniger Portalen und mehr Übersicht.

Beispiel: In ESET Inspect können Sicherheitsverantwortliche mit nur einem Klick Maßnahmen wie das Isolieren eines Endpoints, das Beenden eines Prozesses oder das Herunterfahren eines Systems ausführen. Zudem erlaubt die Lösung proaktives Threat Hunting über eine leistungsfähige IoC-Abfrage (Indicator of Compromise). Die Filterfunktionen sind intuitiv und auch für Admins mit begrenzter Erfahrung schnell zugänglich.

Auch ESET Vulnerability & Patch Management unterstützt dabei, unnötige Warnmeldungen zu vermeiden – durch priorisierte Patching-Strategien, flexible Filter und zentrale Verwaltung.

Besser vorbereitet sein

Dateiverschlüsselung und Erpressung stehen am Ende der Angriffskette. Zuvor wurde das Netzwerk kompromittiert, der Angreifer hat sich administrative Rechte verschafft und konnte sich so im System festsetzen – bis hin zum Einsatz von EDR-Killern. Die Aufgabe der Verteidigung besteht darin, den Angriff frühzeitig zu erkennen und zu stoppen, bevor diese letzte Stufe erreicht wird.

Der Missbrauch verwundbarer Treiber ist kein Zero-Day-Szenario. Vielmehr handelt es sich um ein bekanntes Risiko, das sich mit der richtigen Strategie kontrollieren lässt. Die größte Herausforderung liegt dabei in der Aufmerksamkeit, die solche Angriffe von Administratoren erfordern – und in der Fähigkeit der Sicherheitslösungen, zuverlässig zu unterstützen.

Fazit: EDR-Killer sind eine reale Bedrohung – aber beherrschbar

Die Strategie von Gruppen wie RansomHub zeigt: Wer heute Angriffe abwehren will, muss nicht nur wissen, wie Angriffe ablaufen. Er muss sich auch bewusst sein, wie Sicherheitslösungen selbst zur Zielscheibe werden können. Unternehmen sind gut beraten, ihre Infrastruktur nicht nur auf Prävention auszurichten, sondern auch auf Widerstandsfähigkeit im Fall eines erfolgreichen Angriffs.

Ein vielschichtiger Schutzansatz, die Härtung besonders sensibler Systemkomponenten und der gezielte Einsatz von verhaltensbasierter Erkennung sind dabei zentrale Maßnahmen. Denn wer gezielt die Verteidigung ausschaltet, plant in der Regel einen Angriff mit maximaler Wirkung.