Eine neue Ransomware-Gruppe, bekannt als "Embargo", nutzt hochspezialisierte Schadsoftware, um gängige Sicherheitslösungen zu umgehen und Unternehmen in eine gefährliche Lage zu bringen. Mithilfe eines innovativen Angriffsmusters schalten die Angreifer gezielt Schutzprogramme aus und fordern Lösegeld. ESET-Forscher warnen vor der Gefahr.
Foto: ESET
Die beiden ESET Forscher Tomáš Zvara (links) und Jan Holman (rechts)
Die zunehmende Raffinesse von Ransomware-Angriffen zeigt sich in einem neuen Fall, den die Sicherheitsexperten von ESET analysiert haben. Die Ransomware-Gruppe Embargo, die im Juni 2024 entdeckt wurde, nutzt gezielt Sicherheitslücken, um sich unbemerkt Zugang zu Unternehmensnetzwerken zu verschaffen und Daten zu verschlüsseln. Dabei setzen die Angreifer auf zwei Werkzeuge, die zusammen Schutzlösungen aushebeln und so die Grundlage für einen erfolgreichen Ransomware-Angriff schaffen. Der Missbrauch des abgesicherten Modus in Kombination mit einem speziellen anfälligen Treiber macht die Angriffsmethode besonders effektiv.
Die Embargo-Gruppe operiert mit einem simplen, aber wirksamen Toolset, das auf zwei Hauptwerkzeuge setzt: den Loader MDeployer und das Schadprogramm MS4Killer. Der Loader, ein typisches Nachladeprogramm, lädt den eigentlichen Schadcode nach und führt ihn aus. MS4Killer hingegen ist darauf ausgelegt, Endpoint-Detection-and-Response(EDR)-Lösungen zu deaktivieren und so den Weg für den Angriff zu ebnen.
„Embargo ist eine gut ausgerüstete Gruppe“, sagt ESET-Forscher Jan Holman, der zusammen mit seinem Kollegen Tomáš Zvara die Untersuchung durchgeführt hat. „Gleichzeitig steht sie aber noch am Anfang ihrer zweifelhaften Karriere und beginnt gerade erst, ihre Marke aufzubauen. Außerdem gehen wir davon aus, dass es sich bei Embargo um einen Ransomware-as-a-Service-Anbieter handelt, der seine Dienste Partnern anbietet.“
Indem MDeployer den abgesicherten Modus des Zielsystems ausnutzt, kann er in Kombination mit MS4Killer signierte, jedoch anfällige Kernel-Treiber verwenden, um Sicherheitssoftware gezielt zu deaktivieren. Die verwendete Technik wird als „Bring-your-own-vulnerable-driver“ (BYOVD) bezeichnet und ist bei Ransomware-Banden eine gängige Methode, um Sicherheitsbarrieren zu überwinden. Diese Taktik ermöglicht es den Angreifern, ihre Ransomware ungehindert zu installieren, ohne dass Schutzmechanismen die Attacke bemerken.
Die BYOVD-Technik ermöglicht es den Angreifern, Sicherheitslösungen gezielt außer Kraft zu setzen und ihre Werkzeuge laufend an verschiedene Schutzprogramme anzupassen. Laut ESET sind beide Programme der Gruppe in der Programmiersprache Rust geschrieben, was auf eine moderne und robuste Entwicklung hinweist. Die Schadsoftware ist so konstruiert, dass sie gezielt den Angriffserfolg unterstützt, indem sie Schutzsoftware auf betroffenen Computern deaktiviert und dadurch empfindliche Daten stiehlt und verschlüsselt.
Holman und Zvara weisen darauf hin, dass Embargo eine spezielle Angriffstaktik verfolgt, die auch in Zukunft vermehrt zum Einsatz kommen könnte. Dies stellt eine ernsthafte Bedrohung für Unternehmen dar, die auf unzureichend gesicherte Schutzsoftware setzen. Nutzer der EDR- und MDR-Lösungen von ESET können jedoch beruhigt sein - denn durch diese Forschungsergebnisse sind sie nun gegen die Embargo-Angriffe geschützt und müssen kein erhöhtes Risiko befürchten.
