EDRKillShifter: Die neue Gefahr für viele EDR-Systeme – was Unternehmen jetzt wissen müssen

Diesen Sommer steht es 1:0 für die „guten“ Hackergruppen – zumindest, wenn es nach der Effektivität neuer Angriffsmethoden geht. Das Tool EDRKillShifter ist zwar nicht brandneu, doch die aktuelle, weiterentwickelte Version sorgt für erheblichen Schaden: Zahlreiche bekannte EDR-Produkte lassen sich damit umgehen und gezielt ausschalten – ein gefundenes Fressen für Ransomware-Gruppen.

Betroffen sind unter anderem:
Kaspersky, Sophos, Microsoft Defender, SentinelOne, Cylance, Symantec, Trend Micro, McAfee, HitmanPro, Webroot und F-Secure.

Wichtig dabei: Es handelt sich nicht um ein Versagen einzelner Hersteller – vielmehr nutzen Angreifer eine methodische Schwachstelle, die viele EDR-Lösungen gemeinsam haben. Eine erfreuliche Ausnahme stellt derzeit Crowdstrike dar: Diese Lösung zeigt sich bislang immun gegen die Methode und hebt sich durch ihre Architektur deutlich vom Markt ab.

Aktive Gruppen wie RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx und INC verwenden EDRKillShifter, um in Unternehmensnetzwerke einzudringen, EDRs gezielt auszuschalten – und anschließend unbemerkt die gesamte Infrastruktur zu verschlüsseln. Besonders Dragonforce zeigt in unserer Region derzeit eine hohe Aktivität. In mehreren Fällen mussten wir bereits Verhandlungen begleiten.

Fakt ist: Eine EDR-Lösung allein reicht nicht mehr aus. Wer sich ausschließlich darauf verlässt, läuft Gefahr, das Spiel gegen die Angreifer zu verlieren. Es braucht ein mehrschichtiges Sicherheitskonzept, das idealerweise auch auf SIEM-Technologie zur kontinuierlichen Überwachung setzt – wie ein digitales 24/7-EKG für die IT.

Denn genauso wie Menschen ab einem gewissen Alter regelmäßig zum Gesundheitscheck sollten, gilt für Unternehmen: Ab einer gewissen Größe ist eine kontinuierliche Sicherheitsüberwachung unverzichtbar.

Bleiben Sie wachsam – und lassen Sie Ihr digitales Herz nicht unbemerkt stehen bleiben.

Stay safe – Ihr Team von Cyberincident.at