Ein Cybercrime-Netzwerk mit Verbindungen zu RansomHub-Ransomware hat begonnen, ein neues Tool einzusetzen, das dazu dient, Endpoint Detection and Response (EDR)-Software auf kompromittierten Hosts zu deaktivieren. Dieses Tool, namens EDRKillShifter, wurde von der Cybersecurity-Firma Sophos entdeckt und steht im Zusammenhang mit einem gescheiterten Ransomware-Angriff im Mai 2024.
Andreas Klopsch, Sicherheitsforscher, beschreibt das EDRKillShifter-Tool als “Lader”-Programm, welches als Auslieferungsmechanismus für einen legitimen Treiber fungiert, der anfällig für Missbrauch ist. Je nach den Anforderungen der Angreifer kann es verschiedene Treiber-Payloads ausliefern.
Die Gruppe RansomHub, die vermutlich eine Umbenennung der Knight-Ransomware ist, tauchte im Februar 2024 auf und nutzt bekannte Sicherheitslücken, um den Zugriff zu erhalten und legitime Remote-Desktop-Software wie Atera und Splashtop für dauerhaften Zugang abzulegen.
Vor einem Monat enthüllte Microsoft, dass das berüchtigte E-Crime-Syndikat Scattered Spider Ransomware-Varianten wie RansomHub und Qilin in sein Arsenal aufgenommen hat.
Um die Bedrohung zu mindern, wird empfohlen, die Systeme auf dem neuesten Stand zu halten, die Manipulationsschutzfunktion in der EDR-Software zu aktivieren und eine starke Windows-Sicherheitsrichtlinie einzuhalten.
Laut Klopsch ist dieser Angriff nur möglich, wenn der Angreifer die von ihnen kontrollierten Privilegien eskaliert oder Administratorrechte erlangt. Die Trennung von Benutzer- und Admin-Privilegien kann dazu beitragen, dass Angreifer nicht so einfach Treiber laden können.
Quelle: https://ift.tt/TZlPpjC