Gentlemen-Ransomware nutzt EDR-Killer-Suite für gezielte Angriffe

Die Ransomware-Bedrohungslandschaft entwickelt sich weiter – und zwar in eine gefährlichere Richtung. Eine Gruppe namens Gentlemen hat sich in den letzten Monaten als besonders aggressiver Akteur etabliert, indem sie gezielt Sicherheitslösungen in Unternehmen ausschaltet, bevor sie ihre Verschlüsselungsangriffe starten. Die Gruppe betreibt ein Ransomware-as-a-Service-Modell (RaaS), bei dem sie ihre Tools an andere Cyberkriminelle vermietet. Dabei setzt sie auf eine spezialisierte Tool-Suite, die darauf ausgelegt ist, Endpoint Detection and Response-Lösungen (EDR) zu deaktivieren. Diese sogenannten „EDR-Killer“ ermöglichen es den Angreifern, ihre Aktivitäten im Netzwerk ungestört fortzusetzen und die Ransomware ohne Unterbrechung zu verbreiten.

Die jüngste Analyse zeigt, dass die Gruppe ihre EDR-Killer-Tools kontinuierlich weiterentwickelt. Ein zentrales Werkzeug ist „GentleKiller“, das in mindestens acht verschiedenen Varianten im Umlauf ist. Diese Varianten tarnen sich als legitime Sicherheitsprodukte wie Kaspersky, Valorant, Javelin oder WatchDog. Der Name „GentleKiller“ stammt von Sicherheitsforschern, die die Tools analysiert haben. Die Funktionsweise basiert auf dem sogenannten „Bring Your Own Vulnerable Driver“ (BYOVD)-Ansatz, bei dem verwundbare Treiber genutzt werden, um Berechtigungen auf Systemebene zu erlangen und Sicherheitssoftware zu deaktivieren. Dadurch können die Angreifer ihre Ransomware ungestört ausführen und Daten verschlüsseln, ohne dass die Opfer dies frühzeitig bemerken.

Wie die EDR-Killer von Gentlemen funktionieren

Die von Gentlemen eingesetzten EDR-Killer nutzen eine Kombination aus bekannten und neu entdeckten Schwachstellen in Treibern, um administrative Rechte auf infizierten Systemen zu erlangen. Sobald diese Rechte erreicht sind, deaktivieren die Tools gezielt Prozesse, die mit Sicherheitslösungen in Verbindung stehen. Die Analyse der Varianten zeigt, dass alle Versionen von GentleKiller ähnliche Code-Obfuskierungstechniken verwenden und vergleichbare Prozesslisten nutzen, um Sicherheitssoftware zu erkennen und zu beenden. Die Liste umfasst über 400 Prozesse, die mit rund 48 verschiedenen Sicherheitsanbietern in Verbindung stehen – darunter Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix und Kaspersky.

Ein besonderes Merkmal der GentleKiller-Varianten ist ihre modulare Architektur. Die Entwickler haben den Code so gestaltet, dass neue Treiber oder Exploits einfach integriert werden können, ohne dass größere Änderungen am Kerncode notwendig sind. Dies ermöglicht es der Gruppe, schnell auf neue Schwachstellen zu reagieren und ihre Tools an veränderte Umgebungen anzupassen. Die Angreifer setzen dabei auf kommerzielle Packer wie Enigma und Themida, um ihre Binärdateien zu verschleiern und die Analyse durch Sicherheitsforscher zu erschweren. Zudem nutzen sie gestohlene, aber ungültige digitale Signaturen, um ihre Tools als legitime Software zu tarnen.

Die Rolle von BYOVD und Kernel-Privilegien

Der BYOVD-Ansatz ist ein zentraler Bestandteil der Angriffsmethodik von Gentlemen. Dabei werden verwundbare oder manipulierte Treiber genutzt, um Kernel-Privilegien zu erlangen – also Berechtigungen, die normalerweise nur dem Betriebssystem vorbehalten sind. Mit diesen Rechten können die EDR-Killer tiefgreifende Änderungen am System vornehmen, darunter das Deaktivieren von Sicherheitsdiensten, das Löschen von Log-Dateien oder das Manipulieren von Systemprozessen. Da diese Aktivitäten auf Kernel-Ebene stattfinden, sind sie für viele herkömmliche Sicherheitslösungen schwer zu erkennen, insbesondere wenn diese selbst durch den Angriff bereits kompromittiert wurden.

Die Nutzung von BYOVD ist nicht neu, aber die Art und Weise, wie Gentlemen diese Technik einsetzt, zeigt eine hohe Professionalität. Die Gruppe hat eine Sammlung von verwundbaren Treibern zusammengetragen, die gezielt für diesen Zweck missbraucht werden. Dazu gehören sowohl öffentlich bekannte Schwachstellen als auch Zero-Day-Exploits, die möglicherweise noch nicht öffentlich dokumentiert sind. Durch die Kombination dieser Treiber mit ihren EDR-Killern können die Angreifer selbst hochmoderne Sicherheitslösungen umgehen, die auf Kernel-Level-Überwachung setzen.

Zusätzliche Tools: OxideHarvest und weitere EDR-Killer

Neben GentleKiller setzt die Gruppe auf weitere Tools, um ihre Angriffe abzusichern. Eines davon ist „OxideHarvest“, ein in Rust programmiertes Werkzeug zur Steigerung von Berechtigungen. Rust wird oft für seine Sicherheit und Performance geschätzt, doch in diesem Fall nutzen die Angreifer die Sprache, um ein Tool zu entwickeln, das sich schwerer analysieren lässt und effizienter arbeitet. OxideHarvest könnte dazu dienen, zusätzliche Rechte auf infizierten Systemen zu erlangen oder bereits vorhandene Berechtigungen zu erweitern.

Darüber hinaus verwendet Gentlemen mindestens drei weitere externe EDR-Killer-Tools, die nicht von der Gruppe selbst entwickelt wurden. Diese Tools könnten aus anderen Ransomware-Gruppen oder Underground-Foren stammen und werden vermutlich als Backup-Lösung oder für spezifische Angriffe eingesetzt, bei denen GentleKiller weniger effektiv ist. Die Nutzung externer Tools erhöht die Komplexität der Angriffe und erschwert die Zuordnung zu einer bestimmten Gruppe, was die Ermittlungen für Sicherheitsbehörden zusätzlich erschwert.

Zielgruppe und Angriffsmuster

Die Angriffe von Gentlemen richten sich vor allem an Unternehmen und Organisationen, die auf EDR-Lösungen setzen, um ihre Netzwerke zu schützen. Besonders im Fokus stehen dabei große Unternehmen mit verteilten IT-Infrastrukturen, in denen Sicherheitslösungen zentral verwaltet werden. Durch die Deaktivierung der EDR-Systeme können die Angreifer ihre Ransomware ungestört im Netzwerk verbreiten, sensible Daten exfiltrieren und anschließend verschlüsseln. Typischerweise fordern sie ein Lösegeld, um die verschlüsselten Daten wieder freizugeben oder die gestohlenen Informationen nicht zu veröffentlichen.

Die Vorgehensweise von Gentlemen folgt dabei einem bekannten Muster: Zunächst dringen die Angreifer über kompromittierte Konten, Phishing-E-Mails oder Schwachstellen in öffentlich zugänglichen Systemen in das Netzwerk ein. Anschließend nutzen sie ihre EDR-Killer, um die Sicherheitssoftware zu deaktivieren, bevor sie sich lateral im Netzwerk bewegen, um weitere Systeme zu infizieren. Sobald die Ransomware verteilt ist, wird sie aktiviert und verschlüsselt die Daten. Parallel dazu werden sensible Informationen gestohlen, um den Druck auf die Opfer zu erhöhen.

Schutzmaßnahmen: Was Unternehmen tun können

Angesichts der wachsenden Bedrohung durch EDR-Killer wie GentleKiller müssen Unternehmen ihre Sicherheitsstrategien überdenken. Ein zentraler Ansatz ist die Reduzierung der Angriffsfläche durch regelmäßige Updates und Patches. Besonders kritisch sind dabei verwundbare Treiber, die von BYOVD-Angriffen ausgenutzt werden können. Unternehmen sollten sicherstellen, dass alle Treiber auf dem neuesten Stand sind und keine bekannten Schwachstellen aufweisen. Zudem empfiehlt es sich, den Einsatz von Treibern zu überwachen und ungewöhnliche Aktivitäten zu protokollieren.

Ein weiterer wichtiger Schritt ist die Implementierung von Defense-in-Depth-Strategien. Dabei werden mehrere Sicherheitslösungen kombiniert, um eine mehrstufige Verteidigung zu schaffen. Beispielsweise können EDR-Lösungen mit Netzwerksegmentierung, Multi-Faktor-Authentifizierung und regelmäßigen Backups kombiniert werden. Dadurch wird es Angreifern erschwert, sich im Netzwerk auszubreiten, selbst wenn eine Sicherheitslösung kompromittiert wurde. Zudem sollten Unternehmen ihre Sicherheitslösungen regelmäßig testen, um sicherzustellen, dass sie auch gegen neue Angriffsvektoren wie BYOVD resistent sind.

Erkennung und Reaktion: Wie Sicherheitslösungen angepasst werden müssen

Hersteller von Sicherheitssoftware arbeiten bereits an Lösungen, um Angriffe mit EDR-Killern zu erkennen und zu blockieren. Ein Ansatz besteht darin, verdächtige Aktivitäten auf Kernel-Ebene genauer zu überwachen und ungewöhnliche Treiber oder Prozessmanipulationen zu melden. Einige EDR-Lösungen integrieren mittlerweile spezielle Module, die gezielt nach BYOVD-Aktivitäten suchen und diese blockieren können. Unternehmen sollten sicherstellen, dass ihre Sicherheitslösungen über solche Funktionen verfügen und regelmäßig aktualisiert werden.

Zusätzlich ist eine proaktive Bedrohungserkennung wichtig. Durch die Analyse von Log-Dateien und Netzwerkverkehr können ungewöhnliche Aktivitäten frühzeitig erkannt werden. Besonders verdächtig sind dabei plötzliche Änderungen in Berechtigungen, das Deaktivieren von Sicherheitsdiensten oder das Löschen von Log-Einträgen. Sicherheitsanalysten sollten geschult werden, um solche Anomalien zu erkennen und schnell zu reagieren. Im Ernstfall kann eine schnelle Isolierung betroffener Systeme die Ausbreitung der Ransomware verhindern.

Die Zukunft der EDR-Killer: Was kommt als Nächstes?

Die Entwicklung von EDR-Killern wie GentleKiller zeigt, dass Ransomware-Gruppen ihre Tools kontinuierlich weiterentwickeln, um Sicherheitslösungen zu umgehen. Es ist zu erwarten, dass solche Tools in Zukunft noch raffinierter werden und neue Techniken nutzen, um unentdeckt zu bleiben. Ein möglicher Trend ist die verstärkte Nutzung von KI-gestützten Angriffsmethoden, bei denen Angreifer maschinelles Lernen einsetzen, um Sicherheitslösungen zu analysieren und gezielt zu manipulieren.

Ein weiterer Faktor ist die zunehmende Professionalisierung der Ransomware-Gruppen. Immer mehr Gruppen betreiben eigene Forschungs- und Entwicklungsabteilungen, um ihre Tools zu verbessern und neue Angriffsvektoren zu erschließen. Dies macht es für Sicherheitsforscher und Unternehmen noch schwieriger, mit der Bedrohung Schritt zu halten. Umso wichtiger ist es, dass Sicherheitslösungen kontinuierlich weiterentwickelt werden und Unternehmen ihre Sicherheitsstrategien regelmäßig überprüfen.

Fazit: Wachsamkeit und Anpassungsfähigkeit sind entscheidend

Die Aktivitäten von Gentlemen und anderen Ransomware-Gruppen zeigen, dass die Bedrohungslandschaft im Cyberraum immer komplexer wird. EDR-Killer wie GentleKiller sind ein Beispiel dafür, wie Angreifer Sicherheitslösungen gezielt ausschalten, um ihre Ziele zu erreichen. Unternehmen müssen daher ihre Sicherheitsstrategien anpassen und sicherstellen, dass sie gegen solche Angriffe gewappnet sind. Dazu gehören regelmäßige Updates, eine mehrstufige Verteidigung und eine proaktive Bedrohungserkennung.

Sicherheitslösungen müssen ebenfalls weiterentwickelt werden, um neue Angriffsvektoren zu erkennen und zu blockieren. Hersteller sollten ihre Produkte regelmäßig testen und an neue Bedrohungen anpassen. Gleichzeitig ist es wichtig, dass Unternehmen ihre Mitarbeiter schulen, um Phishing-Angriffe und andere Einfallstore zu erkennen. Nur durch eine Kombination aus technischen Maßnahmen und Sensibilisierung können Organisationen ihre Netzwerke effektiv schützen und die Risiken durch Ransomware minimieren.