Qilin und Warlock Ransomware Deaktivieren EDR-Tools über Anfällige Treiber
Die Ransomware-Gruppen Qilin und Warlock nutzen anfällige Treiber, um über 300 EDR-Tools zu deaktivieren. Dies untergräbt die Cyberabwehr von Zielorganisationen und erhöht das Risiko von Datenlecks. Diese neue Methode erfordert eine Überprüfung der Sicherheitsstrategien.
Qilin und Warlock Ransomware Deaktivieren EDR-Tools über Anfällige Treiber
Jüngste Berichte zeigen, dass die Ransomware-Gruppen Qilin und Warlock eine ausgeklügelte neue Taktik anwenden, um herkömmliche Endpunktsicherheitsmaßnahmen zu umgehen. Diese Gruppen nutzen anfällige Treiber – eine Technik, die oft als Bring Your Own Vulnerable Driver (BYOVD) bezeichnet wird –, um über 300 verschiedene Endpoint Detection and Response (EDR)-Tools zu deaktivieren.
Diese Methode ermöglicht es der Ransomware, ungehindert auf kompromittierten Systemen zu agieren, was die Wahrscheinlichkeit einer erfolgreichen Datenverschlüsselung und -exfiltration erheblich erhöht. Durch die Deaktivierung von EDR-Tools, die darauf ausgelegt sind, bösartige Aktivitäten zu erkennen und darauf zu reagieren, schaffen Qilin und Warlock effektiv einen blinden Fleck für Organisationen, wodurch deren Endpunktschutz weitgehend unwirksam wird.
Die BYOVD-Technik erklärt
Der Bring Your Own Vulnerable Driver (BYOVD)-Angriff beinhaltet, dass Angreifer einen legitimen, digital signierten, aber anfälligen Treiber auf einem Zielsystem installieren. Nach der Installation wird die Schwachstelle in diesem Treiber ausgenutzt, um erhöhte Berechtigungen, typischerweise Kernel-Level-Zugriff, zu erlangen. Mit solch hohem Zugriff kann die Ransomware dann Sicherheitsprozesse beenden, EDR-Agenten deaktivieren und der Erkennung entgehen.
Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.
Jetzt Prüfen →Diese Technik ist besonders gefährlich, da sie legitime Softwarekomponenten missbraucht, was es traditionellen Sicherheitslösungen erschwert, die ursprüngliche Kompromittierung zu identifizieren. Der weit verbreitete Einsatz dieser Methode durch Qilin und Warlock signalisiert einen besorgniserregenden Trend in den Ransomware-Taktiken, der erhöhte Wachsamkeit von Cybersicherheitsexperten erfordert.
Auswirkungen für Organisationen
Die Fähigkeit von Ransomware, EDR-Tools zu deaktivieren, stellt eine ernste Bedrohung für Organisationen dar, die sich bei ihrem primären Endpunktschutz auf diese Lösungen verlassen. Ohne effektives EDR werden Unternehmen äußerst anfällig für Datenlecks, Betriebsunterbrechungen und erhebliche finanzielle Verluste, die mit Ransomware-Angriffen verbunden sind.
- Erhöhtes Risiko: Organisationen, die eines der über 300 betroffenen EDR-Tools verwenden, stehen vor einem erhöhten Kompromittierungsrisiko.
- Sicherheitslücken: Deaktivierte EDR-Tools schaffen Lücken in der Sichtbarkeit, die eine rechtzeitige Erkennung und Reaktion auf laufende Angriffe verhindern.
- Fortgeschrittene Persistenz: Der über BYOVD erlangte Kernel-Level-Zugriff ermöglicht es der Ransomware, starke Persistenzmechanismen zu etablieren.
Cybersicherheitsteams werden dringend aufgefordert, ihre Verteidigungsstrategien zu überprüfen, sich auf proaktive Überprüfungen der Treiberintegrität zu konzentrieren, robuste Anwendungskontrollrichtlinien zu implementieren und mehrschichtige Sicherheitsansätze zu erwägen, die über traditionelles EDR hinausgehen, um diese aufkommende Bedrohung zu mindern.
Quelle
https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html