SchwachstellenRansomwareHackerangriffe

EDR-Killer: Wie Ransomware-Banden Sicherheitssysteme lahmlegen

EDR-Killer: Wie Ransomware-Banden Sicherheitssysteme lahmlegen
Zusammenfassung

Die Bedrohung durch sogenannte EDR-Killer nimmt dramatisch zu und entwickelt sich zu einer Schlüsselkomponente moderner Ransomware-Anschläge. Diese Tools nutzen die Bring-Your-Own-Vulnerable-Driver-Technik (BYOVD), um legitime Windows-Kerneltreiber mit bekannten Sicherheitslücken auszunutzen und damit Endpoint Detection and Response-Systeme sowie andere Schutzmaßnahmen zu deaktivieren. Sicherheitsforscher haben im vergangenen Jahr eine alarmierende Expansion dieses Ökosystems dokumentiert – die ESET-Studie identifizierte bereits knapp 90 unterschiedliche EDR-Killer, die zunehmend als „Plug-and-Play"-Komponenten auf Underground-Marktplätzen verfügbar sind. Für deutsche Unternehmen und Behörden stellt dies eine erhebliche Gefahr dar, da Angreifer damit die Kernverteidigungsmechanismen ihrer IT-Systeme innerhalb von wenigen Stunden lahmlegen können, bevor Verschlüsselungsmалware eingesetzt wird. Das besondere Risiko: Während nur etwa 35 vulnerable Treiber aktiv missbraucht werden, existieren davon über 2.500 Varianten mit unterschiedlichen digitalen Signaturen, was Blocklisten-basierte Verteidigungsmaßnahmen erheblich erschwert. Microsoft und Sicherheitsexperten arbeiten zwar an Gegenmaßnahmen, doch Organisationen müssen dringend ihre Sicherheitsstrategie anpassen.

Das BYOVD-Ökosystem floriert im Untergrund. Rund 35 anfällige Treiber werden derzeit von EDR-Killern missbraucht – eine überschaubare Zahl, die jedoch durch massive Varianz zur Herausforderung wird. Cyberkriminelle erstellen tausende Varianten ein und desselben Treibers. Das prominenteste Beispiel: Der Treiber „Truesight.sys” existiert in über 2.500 verschiedenen Varianten, alle mit gültigen digitalen Signaturen. Sicherheitsteams müssen daher nicht nach einem Hash suchen, sondern nach 2.500 verschiedenen – eine nahezu unmögliche Aufgabe für Blocklisten.

Die Kommerzialisierung dieser Tools hat den Markt transformiert. Ransomware-Gruppen können EDR-Killer wie „Plug-and-Play”-Komponenten aus Underground-Marktplätzen erwerben. Jakub Souček, Senior Malware Researcher bei ESET, beschreibt es prägnant: Selbst ein paar Stunden Angriffsfenster reichen aus, um große Teile eines Netzwerks zu verschlüsseln.

Microsoft steht in einem Dilemma. Das Unternehmen kann anfällige Treiber blockieren – riskiert aber Systemabstürze bei Millionen von Nutzern. Die neue Maßnahme, das Vertrauen in cross-signierte Kernel-Treiber zu entziehen, trifft den Kern des Problems: Über 81 Prozent aller bekannten anfälligen Treiber sind durch das veraltete Cross-Signing-Programm legitimiert.

Doch die Umsetzung ist problematisch. Windows startet in einen „Evaluation Mode”, der 100 Stunden dauert. Falls ein nicht-konformer Treiber fehlschlägt, setzt das System zurück – Unternehmen könnten unbegrenzt in diesem Modus steckenbleiben.

Sicherheitsexperten empfehlen eine mehrstufige Strategie: Hypervisor-Protected Code Integrity (HVCI) aktivieren, Kernel-Aktivitäten überwachen, aber vor allem: Privilege-Escalation und kompromittierte Anmeldedaten verhindern. Denn ohne Admin-Rechte können Angreifer keine Treiber laden. Unternehmen sollten ihre Sicherheitspostur kontinuierlich überprüfen und Zugriffsverwaltung konsequent umsetzen. Während Microsoft seine Verteidigungen stärkt und Open-Source-Projekte wie LOLDrivers umfassendere Blocklisten pflegen, bleibt die Realität: Der EDR-Killer-Markt wächst weiter. Reaktive Maßnahmen allein werden nicht genügen.

Ähnliche Artikel