Ransomware-Gruppen zielen gezielt auf Sicherheitssoftware ab

Cyberkriminelle schalten gezielt Schutzprogramme aus, bevor sie zuschlagen. Eine neue Angriffswelle zeigt, wie Ransomware-Gruppen mit hochkomplexen Methoden Endpoint-Schutzsysteme deaktivieren. Diese strategische Eskalation stellt Unternehmen weltweit vor immense Herausforderungen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen und wie sich Firmen proaktiv schützen können, zeigt dieser kostenlose Report. IT-Sicherheits-Trends und Schutzmaßnahmen jetzt gratis lesen

Anubis attackiert Gesundheitswesen mit Lösch-Funktion

Ein besonders drastischer Fall ereignete sich diese Woche. Die Ransomware-Gruppe Anubis bekannte sich am 10. April zu einem massiven Datendiebstahl beim US-Gesundheitsdienstleister Signature Healthcare. Zwei Terabyte sensibler Patientendaten wurden erbeutet. Das Besondere: Die Malware der Gruppe verfügt über einen speziellen „Wipe-Mode“. Wird das Lösegeld nicht gezahlt, löscht sie Dateien unwiderruflich.

Der Angriff unterstreicht die Verwundbarkeit kritischer Infrastrukturen. Das Gesundheitsunternehmen meldete zwar, seine Einrichtungen seien mit Einschränkungen geöffnet. Die Drohung mit permanenter Zerstörung neben der üblichen Erpressung zeigt jedoch eine neue Qualität der Bedrohung. Anubis operiert seit Ende 2024 mit diesem „Double-Extortion“-Modell und setzt es gezielt gegen finanzstarke Organisationen ein.

Der Aufstieg der „EDR-Killer“: Sabotage auf Kernel-Ebene

Die technische Raffinesse solcher Angriffe markiert einen gefährlichen Trend. Statt nur unentdeckt zu bleiben, zerstören Angreifer nun aktiv die Sicherheitsschicht selbst. So analysierten Forscher am 3. April eine hochkomplexe Angriffskette der Gruppe Qilin. Diese nutzt eine schädliche DLL-Datei, um in einem mehrstufigen, rein im Speicher ablaufenden Prozess über 300 verschiedene EDR-Lösungen zu deaktivieren.

Der Schlüssel zum Erfolg liegt in der „Bring Your Own Vulnerable Driver“ (BYOVD)-Technik. Angreifer bringen einen legitimen, aber anfälligen Treiber auf das Opfersystem. Da dieser signiert ist, erlaubt Windows den Kernel-Zugriff. Über bekannte Schwachstellen im Treiber erreichen die Kriminellen die tiefsten Schichten des Betriebssystems und können die Überwachungsfunktionen der Sicherheitssoftware austricksen.

Tarnung durch legitime Tools und ein professionalisierter Markt

Die Taktiken werden immer raffinierter. Gruppen wie Interlock nutzten Anfang 2026 eine eigene Evasion-Software namens „Hotta Killer“. Diese exploitierte Zero-Day-Schwachstellen in Anti-Cheat-Treibern von Spielen, um Sicherheitsprozesse zu beenden. Andere, wie die Gruppe Crypto24, missbrauchen legitime Wartungstools der Cybersicherheitsanbieter selbst, um deren Schutz-Agenten zu deinstallieren.

Der Markt für diese Umgehungsfähigkeiten ist hochprofessionalisiert. In Darknet-Foren werden fortschrittliche EDR-Bypass-Tools für Preise zwischen mehreren Tausend und Zehntausend Dollar angeboten. Teilweise sind diese Evasion-Tools direkt in „Encryption-Locker“ integriert – eine Plug-and-Play-Lösung auch für weniger technisch versierte Ransomware-Affiliates.

Phishing und CEO-Fraud gehören dabei zu den häufigsten Einstiegswegen für Hacker in Unternehmensnetzwerke. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die psychologischen Manipulationstaktiken der Angreifer entlarven und Ihr Unternehmen in 4 Schritten absichern. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Strategische Verschiebungen und explodierende Schadenssummen

Diese Entwicklung geht mit explodierenden finanziellen Schäden einher. Laut dem US-Bundeskriminalamt FBI waren die durch Ransomware verursachten Verluste 2025 deutlich höher als 2024. Die Gesamtsumme der gemeldeten direkten Verluste belief sich auf über 32 Millionen Dollar – mehr als das Doppelte im Vergleich zu vor zwei Jahren.

Verantwortlich ist eine besser organisierte Affiliate-Struktur im Ransomware-as-a-Service (RaaS)-Modell. Gruppen wie RansomHub entwickeln eigene Tools wie „EDRKillShifter“, die dann von verschiedenen kriminellen Vereinigungen genutzt werden. Diese Kreuzung von Werkzeugen erschwert die Zuordnung von Angriffen. Zudem nutzen Kriminelle zunehmend ungesicherte IoT-Geräte wie Webcams als Einstiegspunkte, um überwachte Server zu umgehen.

Ausblick: Die Zukunft des Endpoint-Schutzes

Angesichts der perfektionierten Kernel-Manipulation wird das traditionelle Vertrauen in Endpoint-Agenten neu bewertet. Experten fordern eine „Triathlon“-Strategie: verbesserte Protokollierung, operative Bedrohungsanalyse und netzwerkbasierte Erkennung müssen die Endpoint-Tools ergänzen.

Die Fähigkeit, Hunderte von EDR-Treibern zu deaktivieren, offenbart eine grundlegende Schwachstelle in der Integration von Sicherheitssoftware. Unternehmen müssen von der Annahme ausgehen, dass Endpoint-Schutz neutralisiert werden kann. Notwendig sind tiefgestaffelte Verteidigung (Defense-in-Depth), die Einschränkung von Workstation-zu-Workstation-Kommunikation und spezielle Anti-Tampering-Maßnahmen.

Der Fokus verschiebt sich von „Erkennung“ hin zu „Resilienz“. Unveränderliche Backups und schnelle Wiederherstellungsfähigkeiten werden entscheidend – für den Fall, dass die primäre Sicherheitsarchitektur bereits kompromittiert ist. Für Sicherheitsteams beginnt ein neues, anspruchsvolleres Rennen gegen die Zeit.

de | boerse | 69122541 |