MÜNCHEN (IT BOLTWISE) – Die Bedrohung durch Ransomware nimmt weiter zu, und die Medusa-Ransomware-Gruppe hat nun eine neue Methode entwickelt, um Sicherheitsmaßnahmen zu umgehen. Durch den Einsatz eines bösartigen Treibers, der mit gestohlenen Zertifikaten signiert ist, gelingt es den Angreifern, Anti-Malware-Tools zu deaktivieren und so unbemerkt in Systeme einzudringen.
Die Medusa-Ransomware-Gruppe hat eine neue Taktik entwickelt, um Sicherheitsmaßnahmen zu umgehen und ihre Angriffe effektiver zu gestalten. Dabei setzen sie auf einen bösartigen Treiber namens ABYSSWORKER, der im Rahmen eines sogenannten ‘Bring Your Own Vulnerable Driver’ (BYOVD)-Angriffs eingesetzt wird. Diese Methode ermöglicht es den Angreifern, Anti-Malware-Tools zu deaktivieren und so unbemerkt in Systeme einzudringen.
Elastic Security Labs hat einen Angriff beobachtet, bei dem der Medusa-Ransomware-Loader über einen Dienst namens HeartCrypt bereitgestellt wurde. Dieser Loader wird zusammen mit einem widerrufenen, zertifikatsignierten Treiber eines chinesischen Anbieters installiert, den das Unternehmen ABYSSWORKER nennt. Der Treiber imitiert einen legitimen CrowdStrike Falcon-Treiber und wird verwendet, um verschiedene EDR-Anbieter zu umgehen.
Die Tatsache, dass die Malware signiert ist, verleiht ihr einen Anschein von Vertrauenswürdigkeit und ermöglicht es ihr, Sicherheitssysteme zu umgehen, ohne Aufmerksamkeit zu erregen. Der Treiber, der zuvor von ConnectWise dokumentiert wurde, ist darauf ausgelegt, Prozesse zu beenden und EDR-Systeme dauerhaft zu deaktivieren. Dies wird durch eine Reihe von I/O-Kontrollcodes erreicht, die eine Vielzahl von Operationen abdecken, von der Dateimanipulation bis zur Prozess- und Treiberterminierung.
Besonders bemerkenswert ist der I/O-Kontrollcode 0x222400, der verwendet wird, um Sicherheitsprodukte zu blenden, indem alle registrierten Benachrichtigungs-Callbacks entfernt werden. Diese Technik wird auch von anderen EDR-killenden Tools wie EDRSandBlast und RealBlindingEDR verwendet. Die Angreifer nutzen diese Schwachstellen, um sich privilegierten Zugriff zu verschaffen und eine Remote-Desktop-Protokoll-Verbindung zu den infizierten Systemen herzustellen, was einen dauerhaften Zugang ermöglicht.
Die Entwicklung dieser Taktik zeigt, wie raffiniert und anpassungsfähig Ransomware-Gruppen geworden sind. Sie nutzen Schwachstellen in legitimen, aber anfälligen Treibern aus, um Sicherheitsfunktionen zu umgehen und vollständige Kontrolle über infizierte Maschinen zu erlangen. Dies ermöglicht es ihnen, sensible Informationen wie Benutzerpasswörter und andere gespeicherte Anmeldeinformationen zu exfiltrieren, was weitere Ausbeutungen ermöglicht.
Die Bedrohung durch Ransomware bleibt eine der größten Herausforderungen für die Cybersicherheit. Unternehmen müssen wachsam bleiben und ihre Sicherheitsmaßnahmen kontinuierlich anpassen, um sich gegen diese immer ausgefeilteren Angriffe zu schützen. Die Nutzung gestohlener Zertifikate und die Umgehung von Sicherheitsmaßnahmen durch bösartige Treiber sind nur einige der vielen Techniken, die von Angreifern eingesetzt werden, um ihre Ziele zu erreichen.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Medusa-Ransomware nutzt gestohlene Zertifikate zur Umgehung von Sicherheitsmaßnahmen" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Medusa-Ransomware nutzt gestohlene Zertifikate zur Umgehung von Sicherheitsmaßnahmen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Medusa-Ransomware nutzt gestohlene Zertifikate zur Umgehung von Sicherheitsmaßnahmen« bei Google Deutschland suchen und bei Google News recherchieren!