Aktuelles, Branche - geschrieben von dp am Mittwoch, August 10, 2022 11:58 - ein Kommentar
Ransomware-as-a-Service missbraucht Windows Defender
Virenschutz wird zum Einfallstor für Ransomware
[datensicherheit.de, 10.08.2022] Mit dem standardmäßig auf modernen „Windows“-Rechnern vorinstallierten Virenschutz „Windows Defender“ haben die kriminellen Akteure hinter „LockBit“ derzeit offenbar einen häufig ausnutzbaren Angriffsvektor im Visier: Sicherheitsforscher von SentinelOne haben hierzu kürzlich die Ergebnisse einer Analyse zur Schadsoftware „LockBit 3.0“ veröffentlicht. Es handelt sich demnach bei der Ransomware „LockBit 3.0“ um eine neuere Version einer weit verbreiteten RaaS-Familie (Ransomware-as-a-Service), deren Ursprung bei „BlackMatter“ und ähnlicher Malware liege.

Foto: Armis
Andy Norton: Frameworks für Cyber-Risiken sehen viele verschiedene Anforderungen vor, die umgesetzt werden müssen!
Ransomware-Warnsignal: Auffälliges Geräteverhalten
Dem Forschungsbericht zufolge nutzten die Hacker für ihren Angriff das „Windows Defender“-Befehlszeilentool zum Entschlüsseln und Laden von „Cobalt Strike“-Nutzdaten. „Sobald der erste Zugriff erfolgt war, führten die Akteure eine Reihe von Enumerationsbefehlen aus und versuchten, mehrere Post-Exploitation-Tools auszuführen, darunter Meterpreter, PowerShell Empire und eine neue Methode, um nebenbei ,Cobalt Strike‘ zu laden.“
Wenn ein „Asset“ durch diese Schwachstelle infiziert ist, dann mache sich dies laut Andy Norton, „European Cyber Risk Officer“ bei Armis, sofort bemerkbar: „Die für die Sicherheitslücke verwendeten Tools sind zwar neu, jedoch sind der anschließende Verlauf und die Verhaltensänderungen nach wie vor eindeutige Indikatoren für eine schadhafte Infektion. Aus diesem Grund ist eine tiefgreifende Verteidigung wichtig. Die Frameworks für Cyber-Risiken sehen viele verschiedene Anforderungen vor, die umgesetzt werden müssen.“
Verändertes Geräte-Verhalten mit der Norm vergleichen, um Ransomware-Befall zu erkennen
Es gebe über das Geräteverhalten eindeutige Hinweise auf eine Infektion. „Zum einen ist bekannt, dass das Kontaktieren von Raw-IP-Adressen schadhaftes Verhalten darstellt“, so Norton. „Zum anderen fällt es auf, wenn sich ein ,Asset‘ anders verhält als sonst und wenn sich dieses Verhalten von dem anderer ,Assets‘ unterscheidet.“
Mit dem Wissen darüber, wie sich bestimmte Geräte normalerweise verhalten, werde es möglich, das veränderte Verhalten eines Geräts mit der Norm zu vergleichen. Dadurch könne nicht nur das veränderte Verhalten des Geräts mit sich selbst, sondern auch im Vergleich mit dem anderer Geräte abgeglichen werden. Norton erklärt abschließend: „Wenn das Verhalten des Geräts anschließend als verdächtig eingestuft wird, dann können Unternehmen die nötigen Schritte unternehmen, um das vom Gerät ausgehende Risiko einzudämmen.“
Weitere Informationen zum Thema:
The Hacker News, Ravie Lakshmanan, 02.08.2022
LockBit Ransomware Abuses Windows Defender to Deploy Cobalt Strike Payload
SentinelOne blog, Julio Dantas & James Haughom & Julien Reisdorffer, 28.07.2022
Living Off Windows Defender | LockBit Ransomware Sideloads Cobalt Strike Through Microsoft Security Tool
SentinelLABS, Jim Walter, 21.07.2022
Crimeware / LockBit 3.0 Update | Unpicking the Ransomware’s Latest Anti-Analysis and Evasion Techniques
ein Kommentar
Verteidigung gegen Ransomware-as-a-Service-Angriffe - datensicherheit.de
Kommentieren
Aktuelles, Experten - Juli 12, 2025 10:57 - noch keine Kommentare
Stärkung der Cybersicherheit in Bund und Ländern: BSI und Baden-Württemberg kooperieren
weitere Beiträge in Experten
- Leibniz-Center for Industrial Security: CISPA fokussiert auf Zukunft der Cybersicherheit
- KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
- Bitkom-Transparenzbericht 2025 veröffentlicht
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
Aktuelles, Branche, Studien - Juli 13, 2025 0:15 - noch keine Kommentare
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen
weitere Beiträge in Branche
- Check Point deckt neue Phishing-Domains von Scattered Spider auf
- Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe
- Cyberabwehr: 74 Prozent der deutschen Unternehmen setzen bereits KI ein
- Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität
- Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
[…] datensicherheit.de, 10.08.2022 Ransomware-as-a-Service missbraucht Windows Defender […]