Sicherheitsforschern ist es gelungen, eine bislang unbekannte Malware-Kampagne aufzudecken, die unter dem Namen “BlackSanta” bekannt wurde und sich auf die Deaktivierung von EDR-Lösungen konzentriert. Das Besondere an diesem Ansatz: Die Angreifer nutzen die HR-Abteilung als Einfallstor in das Unternehmen.
Die Methodik ist raffiniert: Über gefälschte Stellenausschreibungen oder Bewerbungsunterlagen werden HR-Mitarbeiter dazu verleitet, verdächtige Dateien zu öffnen oder Skripte auszuführen. Diese Dateien enthalten die “BlackSanta”-Malware, die nach der Aktivierung zunächst das Ziel analysiert und dann gezielt gegen die installierten EDR-Systeme vorgeht.
Das Tückische an diesem Ansatz liegt in der Zielwahl: HR-Abteilungen haben oft weniger technische Kenntnisse, sind aber teilweise mit weitreichenden Netzwerkrechten ausgestattet. Ein kompromittiertes HR-System kann somit als Brückenkopf für weiterreichende Angriffe auf sensible Unternehmensbereiche genutzt werden.
Die Malware setzt verschiedene Techniken ein, um EDR-Agenten zu umgehen oder auszuschalten. Sie versucht, sicherheitsrelevante Prozesse zu beenden, Treiber zu deinstallieren und Netzwerkverbindungen zu EDR-Cloud-Services zu unterbrechen. Nach erfolgreicher Deaktivierung der Schutzmaßnahmen haben Cyberkriminelle freie Hand für weitere Malware-Installationen oder Ransomware-Angriffe.
Unternehmen sollten ihre HR-Workflows dringend überprüfen und hardened machen. Dazu gehören erweiterte E-Mail-Filter, zusätzliche Authentifizierungen beim Datei-Download, Schulungen für HR-Personal und die Überwachung verdächtiger Aktivitäten. Besonders wichtig: EDR-Systeme sollten mit zusätzlichen Detektionsmechanismen ausgestattet werden, die ihre eigenen Prozesse überwachen.