Ransomware-Bande setzt Sicherheitslösungen außer Gefecht

Nächste PM

Cyberkriminelle finden immer neue Wege, um an ihr Ziel zu kommen. Einen besonders heimtückischen haben Forscher von ESET jetzt entdeckt: Die im Juni 2024 beobachtete Ransomware-Gruppe Embargo nutzt raffinierte Schadsoftware, mit der sie bestimmte Endpoint-Detection-and-Response(EDR)-Lösungen aushebeln und deaktivieren kann. Möglich macht dies die geschickte Ausnutzung des abgesicherten Modus und eines anfälligen Treibers. Ist die Sicherheitssoftware erst einmal lahmgelegt, stehlen die Kriminellen wertvolle Daten vom Rechner und verschlüsseln sie. Zudem drohen sie mit der Veröffentlichung der gestohlenen Informationen und fordern Lösegeld.

Anwender der EDR- und MDR-Lösungen von ESET sind davon nicht betroffen und sicher.

„Embargo ist eine gut ausgerüstete Gruppe“, erklärt ESET Forscher Jan Holman, zusammen mit seinem Kollegen Tomáš Zvara die Untersuchung durchgeführt hat. „Gleichzeitig steht sie aber noch am Anfang ihrer zweifelhaften Karriere und beginnt gerade erst, ihre Marke aufzubauen. Außerdem gehen wir davon aus, dass es sich bei Embargo um einen Ransomware-as-a-Service-Anbieter handelt, der seine Dienste Partnern anbietet.“

Zwei Werkzeuge reichen für einen erfolgreichen Angriff

Die Hacker setzen im aktuellen Fall auf zwei Werkzeuge: einen Loader (MDeployer), also ein Programm, das nach seiner Installation weiteren Code nachladen und ausführen kann, und einen EDR-Killer (MS4Killer). Dabei handelt es sich um eine Schadsoftware, die Sicherheitssoftware auf den Ziel-Computern deaktivieren soll. Diese Taktik ist nicht neu, sondern kommt bei mehreren Ransomware-Gruppen zum Einsatz.

MDeployer missbraucht den abgesicherten Modus, um Sicherheitslösungen zu deaktivieren. Hierfür führt der Loader MS4Killer aus, ein typisches Werkzeug, mit dem sich die Verteidigung eines Computers umgehen lässt: Mit Hilfe der sogenannten Bring-your-own-vulnerable-driver(BYOVD)-Technik beendet es Prozesse von solchen EDR-Lösungen. Dies gelingt, indem das Werkzeug signierte, anfällige Kernel-Treiber missbraucht, um eigenen Programm-Code auszuführen.

Ransomware-Banden greifen häufig auf BYOVD-Werkzeuge zurück, um die Software zu manipulieren, die die angegriffene Infrastruktur schützt. Nachdem sie diese Schutzmechanismen deaktiviert haben, installieren die Hacker dann die Ransomware – und das ohne Gefahr, entdeckt zu werden. Die Hacker können ihre Werkzeuge sogar während des Angriffs an bestimmte Sicherheitslösungen anpassen, um diese zu umgehen. Die Werkzeuge sind in der Programmiersprache Rust geschrieben.

Weitere Informationen finden Sie im Blogpost „Embargo ransomware: Rock’n’Rust“ auf https://www.welivesecurity.com/de/.

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.