Neue Malware hebelt EDR-Software aus

Sophos-Sicherheitsforschende haben im Zuge einer Ransomware-Untersuchung im Mai eine neue Malware entdeckt. Ransomware-Banden setzen den Schädling ein, um Endpoint Detection and Response (EDR)-Software in Bring Your OWN Vulnerable Driver (BYOVD)-Attacken auszuhebeln, wie "Bleepingcomputer" berichtet. Die von Sophos "EDRKillShifter" genannte Malware sei vor allem bei finanziell motivierten Ransomware-Banden bis hin zu staatlich unterstützten Hackergruppen beliebt. 

Die Malware versucht Endpoint-Detection-and-Response-Software (EDR-Software) zu umgehen, indem sie einen veralteten Treiber auf dem Zielgerät einschleust, der daraufhin für weitere Angriffe verwendet wird. Sophos vermutet, dass die Malware auf einem Computer aus dem russisch-sprachigen Raum entwickelt wurde. 

Zum Schutz vor "EDRKillShifter" empfiehlt der Cybersecurityanbieter User- und Admin-Rechte in Endpoint-Security-Produkten so anzupassen, dass Unbefugte keine Treiber mit bekannten Schwachstellen installieren können. Treiber, die bereits in Cyberangriffen verwendet wurden, blockiert Microsoft jeweils mit den neuesten Sicherheitsupdates für Windows. Deshalb rät Sophos auch zu regelmässigen Systemupdates. 

Über Angriffe mit einer ähnlichen Malware namens AuKill berichtete Sophos übrigens in seinem Threat Report 2024. Wie solche Malware Lieferketten gefährdet und wie sich Unternehmen schützen können, lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.