Neue Schadsoftware BlackByte umgeht Antivirus-Programme

Aktuell beobachten Sicherheitsexperten eine neue Variante von Ransomware-Angriffen, die von Antivirus- und Sicherheitsprogrammen nicht erkannt wird. Das macht es schwierig, sich davor zu schützen.

Die kriminellen Macher hinter BlackByte schleusen keinen Schadcode in das System ihrer Opfer, sondern importieren einen herkömmlichen Gerätetreiber, hier den Grafiktreiber MSI Afterburner für Windows-Systeme. Sicherheitsprogramme schlagen darauf nicht an und stufen den Treiber nicht als Bedrohung ein, zumal er eine gültige Signatur aufweist. Daher lässt er sich ohne eine Warnmeldung installieren.

Tatsächlich bringt der Treiber eine gravierende Sicherheitslücke mit. Diese nutzen die Angreifer nach der Installation gezielt aus, um sich die Zugriffsrechte zu verschaffen und eventuelle Sicherheitsmechanismen auszuschalten. Damit ist der Weg für frei und es folgt das, was üblicherweise bei einem Ransomware-Angriff passiert: die Verschlüsselung von Dateien und die Erpressung von Lösegeld für die Wiederherstellung der Daten.

Die Taktik hinter dieser Angriffsmethode nennt sich “Bring Your Own Driver” und kam schon bei anderen Ransomware-Angriffen zum Tragen.