RansomwareSchwachstellenHackerangriffe

Qilin und Warlock nutzen verwundbare Treiber zur Deaktivierung von 300+ EDR-Tools

Qilin und Warlock nutzen verwundbare Treiber zur Deaktivierung von 300+ EDR-Tools
Zusammenfassung

Die Ransomware-Gruppen Qilin und Warlock setzen zunehmend auf eine gefährliche Angriffstechnik: Sie nutzen bewusst vulnerable Treiber, um über 300 Endpoint Detection and Response (EDR)-Tools auf Zielgeräten zu deaktivieren. Diese sogenannte „Bring Your Own Vulnerable Driver"-Methode (BYOVD) ermöglicht es Angreifern, Sicherheitslösungen zu umgehen, indem sie legitime, aber anfällige Treiber missbrauchen. Besonders besorgniserregend ist die Sophistische des Qilin-Ansatzes: Eine bösartige DLL umgeht User-Mode-Hooks, unterdrückt Windows-Event-Logging und führt den EDR-Killer vollständig im RAM-Speicher aus, ohne dabei Spuren zu hinterlassen. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, zumal Qilin derzeit die aktivste Ransomware-Gruppe ist und bereits hunderte Opfer verzeichnet. Die durchschnittlich sechs Tage zwischen Erstinfektion und Ransomware-Ausführung bieten zwar ein Erkennungsfenster, doch die fortgeschrittenen Evasionstechniken erschweren die Detektion erheblich. Organisationen müssen daher ihre Verteidigungsstrategien überdenken und sich auf Treiber-Governance, Patch-Management und Kernel-Level-Überwachung konzentrieren.

Die technische Analyse zeigt ein hochsophistiziertes Angriffsschema: Qilin setzt eine bösartige DLL namens “msimg32.dll” ein, die über DLL-Seitenladen (DLL Side-Loading) gestartet wird und eine mehrstufige Infektionskette auslöst. Der PE-Loader bereitet zunächst die Ausführungsumgebung vor, während die Hauptnutzlast – der EDR-Killer – verschlüsselt im Loader eingebettet ist.

“Die Malware implementiert ein ganzes Arsenal an Umgehungstechniken”, erklären die Talos-Forscher Takahiro Takeda und Holger Unterbrink. Sie neutralisiert User-Mode-Hooks, unterdrückt Event Tracing für Windows (ETW) und verbirgt Kontrollfluss sowie API-Aufrufe. Das ermöglicht es, die eigentliche EDR-Killer-Komponente vollständig im Speicher zu dekodieren und auszuführen – völlig unerkannt.

Besonders bemerkenswert ist die Vorgehensweise nach der Aktivierung: Bevor der zweite Treiber geladen wird, deregistriert die Malware sämtliche Monitoring-Callbacks, die von EDR-Systemen etabliert wurden. Dies verhindert, dass die Prozessbeendigung unterbrochen wird. Talos-Forscher betonen, dass dies die Raffinesse moderner Ransomware unterstreicht.

Die Statistiken sind alarmierend: Qilin ist derzeit die aktivste Ransomware-Gruppe. In Japan waren die Cyberkriminellen für 22 von 134 Ransomware-Vorfällen 2025 verantwortlich – das entspricht 16,4 Prozent aller Angriffe. Die Gruppe nutzt primär gestohlene Anmeldedaten für den initialen Zugang und konzentriert sich dann intensiv auf Post-Compromise-Aktivitäten, um ihre Kontrolle systematisch auszubauen. Durchschnittlich vergehen etwa sechs Tage zwischen dem ersten Eindringen und der Ransomware-Ausführung.

Auch die Warlock-Gruppe (alias Water Manual) zeigt keine Schwäche. Sie exploitet weiterhin ungepatchte Microsoft-SharePoint-Server und nutzt nun den legitimen, aber anfälligen NSec-Treiber (“NSecKrnl.sys”) für BYOVD-Attacken, um Sicherheitsprodukte auf Kernel-Level zu terminieren.

Zum Schutz gegen BYOVD-Bedrohungen empfehlen Sicherheitsexperten: Laden Sie nur Treiber von explizit vertrauenswürdigen Publishern, überwachen Sie Treiber-Installationsereignisse und halten Sie ein striktes Patch-Management ein. Trend Micro unterstreicht: “Organisationen müssen vom grundlegenden Endpoint-Schutz zu strikter Treiber-Governance und Echtzeit-Monitoring von Kernel-Aktivitäten übergehen.”

Ähnliche Artikel