Baidu-Antiviren-Treiber wird zu Ransomware-Waffe

Ein neuer Cyberangriff nutzt eine Schwachstelle im legitimen Baidu-Antiviren-Treiber aus, um Sicherheitssoftware auszuschalten und die gefährliche DeadLock-Ransomware zu verbreiten. Die Attacke zeigt, wie Kriminelle zunehmend fehlerhafte, aber offiziell signierte Treiber als perfekte Tarnung für ihre Aktivitäten missbrauchen.

Die Bedrohungsakteure, die finanziell motiviert handeln, nutzen eine als Bring Your Own Vulnerable Driver (BYOVD) bekannte Technik. Dabei schleusen sie einen legitimen, aber fehlerhaften Treiber des chinesischen Antiviren-Anbieters Baidu in bereits kompromittierte Systeme ein.

Der Angriff beginnt mit dem Eindringen in ein Netzwerk, oft über gestohlene Benutzerkonten. Anschließend wird ein Schadprogramm (Loader) installiert, das den anfälligen Baidu-Treiber BdApiUtil.sys auf dem Zielsystem platziert. Die Schwachstelle, registriert als CVE-2024-51324, erlaubt es einem Angreifer mit einfachen Benutzerrechten, beliebige Prozesse mit höchsten Systemprivilegien zu beenden.

Moderne Cyber‑Angriffe nutzen immer raffiniertere Tricks – von signierten, fehlerhaften Treibern bis zu versteckten Loaders, die Sicherheitssoftware blind machen. Ein kostenloses E‑Book zur Cyber‑Security‑Awareness erklärt praxisnah, welche mehrschichtigen Verteidigungsmaßnahmen jetzt Priorität haben: sichere Zugangskontrollen, Härtung von EDR/AV-Tools, Erkennungsregeln für ungewöhnliche Treiberaktivität und offline gesicherte Backups. Enthalten sind Checklisten und sofort umsetzbare Schritte für IT‑Teams. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

In der Praxis bedeutet das: Die eigene Sicherheitssoftware wird von innen heraus deaktiviert. Endpoint Detection and Response (EDR)-Lösungen und Antivirenprogramme werden systematisch abgeschaltet. Anschließend führen die Angreifer ein PowerShell-Skript aus, das Windows Defender deaktiviert, die Benutzerkontensteuerung umgeht und kritische Shadow-Volume-Kopien löscht – eine Standardtaktik, um Datenwiederherstellung zu verhindern.

BYOVD: Der Trend zur getarnten Systemübernahme

Die BYOVD-Methode wird unter Cyberkriminellen immer beliebter. Statt einen eigenen, bösartigen Treiber zu signieren – was schwierig ist –, suchen sie einfach nach legitimen Treibern bekannter Hersteller, die unentdeckte Sicherheitslücken enthalten. Diese signierten Treiber werden vom Betriebssystem vertrauen und bieten so die perfekte Tarnkappe.

Einmal mit Kernel-Rechten geladen, können Angreifer nahezu ungehindert agieren: Prozesse manipulieren, Aktivitäten verstecken und Sicherheitssoftware deaktivieren. Microsoft führt zwar eine Blockliste für bekannte fehlerhafte Treiber, doch ständig werden neue Schwachstellen entdeckt, wie dieser Fall zeigt.

Das Ziel: DeadLock-Ransomware

Nach der Ausschaltung der Abwehr kommt die finale Nutzlast: die DeadLock-Ransomware. Sie verschlüsselt mit einem eigenen Algorithmus Dateien im gesamten Netzwerk. Die Opfer finden eine Lösegeldforderung vor.

Auffällig: Die Täter hinter dieser Kampagne betreiben keine öffentliche Leak-Site, auf der gestohlene Daten veröffentlicht werden. Stattdessen weisen sie die Opfer an, über einen Ende-zu-Ende-verschlüsselten Messenger zu verhandeln. Zudem installieren sie oft Fernwartungstools wie AnyDesk, um langfristigen Zugriff zu behalten.

Schutzmaßnahmen für Unternehmen

Dieser Vorfall unterstreicht die Komplexität von Lieferkettenrisiken. Selbst Treiber etablierter Softwarehersteller können zur Gefahr werden. Experten empfehlen einen mehrschichtigen Ansatz:

• Zugang erschweren: Starke Passwortrichtlinien und Multi-Faktor-Authentifizierung verhindern den Erstzugriff.
• Treiber überwachen: Das Laden ungewöhnlicher Treiber – auch signierter – sollte überwacht und alarmiert werden.
• Anwendungskontrolle: Richtlinien, die festlegen, welche Treiber auf einem System geladen werden dürfen, sind eine effektive Verteidigung.
• Anti-Tampering: Sicherheitslösungen sollten sich gegen Deaktivierung schützen.
• Patchen und Backups: Regelmäßige Updates sind Pflicht. Entscheidend sind zudem offline gespeicherte Backups, die ein Angreifer mit Admin-Rechten nicht löschen kann.

Sicherheitsanbieter haben bereits Erkennungsregeln für den bösartigen Loader und die Ausnutzung des Baidu-Treibers veröffentlicht.

PS: Wenn Sie Ihr Unternehmen vor Ransomware‑Kampagnen wie dieser schützen wollen, bietet der Gratis‑Report konkrete Vorlagen für Erkennungsregeln, Incident‑Response‑Checklisten und Maßnahmen, mit denen Sie BYOVD‑Techniken schneller entdecken und stoppen. Ideal für IT‑Leiter und Sicherheitsverantwortliche, die pragmatische, sofort anwendbare Schritte suchen. Gratis E‑Book: Cyber Security Awareness Trends herunterladen