Cyberkriminelle finden immer neue Wege, um an ihr Ziel zu kommen. Einen besonders heimtückischen haben Forscher beim Virenschutz-Spezialisten ESET jetzt entdeckt: Die im Juni 2024 erstmals in Erscheinung getretene Ransomware-Gruppe Embargo nutzt raffinierte Schadsoftware, mit der sie bestimmte Endpoint-Detection-and-Response(EDR)-Lösungen aushebeln und deaktivieren kann. Möglich macht dies die geschickte Ausnutzung des abgesicherten Modus und eines anfälligen Treibers. Ist die Sicherheitssoftware erst einmal lahmgelegt, stehlen die Kriminellen Daten vom Rechner und verschlüsseln sie zusätzlich auf dem angegriffenen System. Im Folgenden drohen sie mit der Veröffentlichung der gestohlenen Informationen und fordern Lösegeld.
Die Hacker setzen im aktuellen Fall auf zwei Werkzeuge. Erstens einen sogenannten Loader (von den Cyberschurken “MDeployer” genannt), also ein Programm, das nach seiner Installation weiteren Code nachladen und ausführen kann. Und zweitens eine Schadsoftware, die Sicherheitssoftware auf den Ziel-Computern deaktivieren soll (“MS4Killer”). MDeployer missbraucht den abgesicherten Modus, um Sicherheitslösungen zu deaktivieren. Hierfür führt der Loader MS4Killer aus, ein Werkzeug, mit dem sich die Verteidigung eines Computers umgehen lässt: Mit Hilfe der sogenannten Bring-your-own-vulnerable-driver(BYOVD)-Technik beendet es Prozesse von solchen EDR-Lösungen. Dies gelingt, indem das Werkzeug signierte, anfällige Kernel-Treiber missbraucht, um eigenen Programm-Code auszuführen.
Ransomware-Banden greifen häufig auf BYOVD-Werkzeuge zurück, um die Software zu manipulieren, die die angegriffene Infrastruktur schützt. Nachdem sie diese Schutzmechanismen deaktiviert haben, installieren die Hacker dann die Ransomware – und das ohne Gefahr, entdeckt zu werden. Die Hacker können ihre Werkzeuge während des laufenden Angriffs an bestimmte Sicherheitslösungen anpassen, um diese zu umgehen. Die Werkzeuge sind in der Programmiersprache Rust geschrieben. Das entbehrt nicht einer gewissen Ironie, denn Rust gilt als besonders sicher.
ESET geht davon aus, dass es sich bei Embargo um einen Ransomware-as-a-Service-Anbieter handelt, der seine Dienste Partnern anbietet und verweist (natürlich) darauf, dass das eigene EDR-Produkt gegen diesen Angriff immun sei.
Zum ESET-Blogpost
