Qilin und Warlock Ransomware nutzen BYOVD-Technik

Bedrohungsakteure, die mit den Qilin- und Warlock-Ransomware-Operationen in Verbindung stehen, haben eine neue Technik entdeckt, um Sicherheitswerkzeuge auf kompromittierten Hosts zu deaktivieren. Laut den aktuellen Erkenntnissen von Cisco Talos und Trend Micro nutzen diese Angreifer die Methode des Bring Your Own Vulnerable Driver (BYOVD). Diese Technik ermöglicht es ihnen, Sicherheitslösungen zu umgehen und ihre Angriffe effektiver durchzuführen.

Die BYOVD-Technik beruht darauf, dass Angreifer verwundbare Treiber auf den Zielsystemen verwenden, um die installierten Endpoint Detection and Response (EDR)-Tools zu stören. Diese Sicherheitslösungen sind darauf ausgelegt, schädliche Aktivitäten zu erkennen und zu verhindern. Durch die Manipulation der Treiber können die Angreifer die Überwachung und Reaktion der Sicherheitssoftware erheblich einschränken.

Details zu den Angriffen

Die von Talos analysierten Qilin-Angriffe zeigen, dass ein bösartiges DLL namens "msimg32.dll" eingesetzt wird. Dieses DLL wird verwendet, um die Sicherheitsmaßnahmen der betroffenen Systeme zu umgehen. Die Verwendung solcher Techniken ist nicht neu, jedoch hat die Kombination von Ransomware mit BYOVD eine neue Dimension der Bedrohung geschaffen.

Die Angreifer nutzen die Schwachstellen in den Treibern, um die Kontrolle über die Systeme zu erlangen. Dies geschieht oft, indem sie legitime Treiber modifizieren oder bösartige Treiber installieren, die dann als vertrauenswürdig angesehen werden. Diese Vorgehensweise ermöglicht es den Angreifern, ihre Aktivitäten zu verschleiern und die Reaktion der Sicherheitssoftware zu minimieren.

Die Qilin- und Warlock-Ransomware-Angriffe sind Teil eines größeren Trends, bei dem Cyberkriminelle zunehmend raffinierte Techniken einsetzen, um ihre Ziele zu erreichen. Die Verwendung von BYOVD ist ein Beispiel dafür, wie Angreifer die Sicherheitsarchitektur von Unternehmen ausnutzen, um ihre eigenen Ziele zu verfolgen. Die Bedrohung durch solche Angriffe ist in den letzten Jahren gestiegen, da immer mehr Unternehmen auf digitale Lösungen angewiesen sind.

Die Sicherheitsgemeinschaft reagiert auf diese Bedrohungen, indem sie ihre Strategien zur Erkennung und Abwehr von Ransomware-Angriffen anpasst. Die Herausforderung besteht darin, dass die Angreifer ständig neue Methoden entwickeln, um Sicherheitsmaßnahmen zu umgehen. Die Entdeckung der BYOVD-Technik hat die Aufmerksamkeit von Sicherheitsexperten auf sich gezogen, die nun nach Wegen suchen, um diese Angriffe zu verhindern.

Die Berichte von Cisco Talos und Trend Micro verdeutlichen die Notwendigkeit, Sicherheitslösungen kontinuierlich zu aktualisieren und zu verbessern. Unternehmen müssen sich der Risiken bewusst sein, die mit der Verwendung von verwundbaren Treibern verbunden sind, und entsprechende Maßnahmen ergreifen, um ihre Systeme zu schützen. Die Bedrohung durch Ransomware bleibt eine der größten Herausforderungen für die Cybersicherheit.

Die Verwendung von BYOVD-Techniken durch Qilin und Warlock zeigt, wie wichtig es ist, Sicherheitsstrategien zu überdenken und anzupassen. Die Angreifer sind gut organisiert und nutzen jede Schwachstelle, die sie finden können. Die Sicherheitsgemeinschaft muss wachsam bleiben und innovative Lösungen entwickeln, um diesen Bedrohungen entgegenzuwirken.