Bedrohungsakteure, die mit **Qilin**- und **Warlock**-Ransomware-Operationen in Verbindung gebracht werden, nutzen laut Erkenntnissen von **Cisco Talos** und **Trend Micro** die Bring Your Own Vulnerable Driver (**BYOVD**)-Technik, um auf kompromittierten Hosts laufende Sicherheitswerkzeuge stummzuschalten. ### Qilins EDR-Killer Bei von **Talos** analysierten **Qilin**-Angriffen wurde eine bösartige DLL namens "msimg32.dll" eingesetzt, die eine mehrstufige Infektionskette zur Deaktivierung von Endpoint Detection and Response (EDR)-Lösungen initiiert. Die über DLL-Side-Loading gestartete DLL kann über 300 EDR-Treiber von fast jedem Sicherheitsanbieter auf dem Markt beenden. "Die erste Stufe besteht aus einem PE-Loader, der für die Vorbereitung der Ausführungsumgebung für die EDR-Killer-Komponente verantwortlich ist", sagten die **Talos**-Forscher Takahiro Takeda und Holger Unterbrink. "Diese sekundäre Payload ist in verschlüsselter Form in den Loader eingebettet." Der DLL-Loader implementiert eine Reihe von Techniken zur Umgehung der Erkennung. Er neutralisiert User-Mode-Hooks, unterdrückt Event Tracing for Windows (ETW)-Ereignisprotokolle und unternimmt Schritte, um den Kontrollfluss und die Muster der API-Aufrufe zu verschleiern. Dadurch kann die Haupt-EDR-Killer-Payload vollständig im Speicher entschlüsselt, geladen und ausgeführt werden, während sie völlig unentdeckt bleibt. Sobald die Malware gestartet ist, verwendet sie zwei Treiber: * rwdrv.sys, eine umbenannte Version von "ThrottleStop.sys", die verwendet wird, um auf den physischen Speicher des Systems zuzugreifen und als Kernel-Mode-Hardware-Zugriffsschicht zu fungieren. * hlpdrv.sys, um Prozesse zu beenden, die mit über 300 verschiedenen EDR-Treibern verschiedener Sicherheitslösungen verbunden sind. Es ist erwähnenswert, dass beide Treiber im Rahmen von **BYOVD**-Angriffen eingesetzt wurden, die in Verbindung mit **Akira**- und **Makop**-Ransomware-Intrusionen durchgeführt wurden. "Bevor der zweite Treiber geladen wird, registriert die EDR-Killer-Komponente die vom EDR eingerichteten Überwachungs-Callbacks ab, um sicherzustellen, dass die Prozessbeendigung ohne Störungen erfolgen kann", sagte **Talos**. "Dies zeigt die ausgeklügelten Tricks, die die Malware einsetzt, um moderne EDR-Schutzfunktionen auf kompromittierten Systemen zu umgehen oder vollständig zu deaktivieren." Laut Statistiken von **CYFIRMA** und **Cynet** hat sich **Qilin** in den letzten Monaten zur aktivsten Ransomware-Gruppe entwickelt und Hunderte von Opfern gefordert. Die Gruppe wurde mit 22 von 134 Ransomware-Vorfällen in Japan im Jahr 2025 in Verbindung gebracht, was 16,4 % aller Angriffe ausmacht.  "**Qilin** verlässt sich hauptsächlich auf gestohlene Anmeldeinformationen für den initialen Zugriff", sagte **Talos**. "Nach erfolgreichem Einbruch in eine Zielumgebung legt die Gruppe großen Wert auf Post-Kompromittierungsaktivitäten, die es ihr ermöglichen, ihre Kontrolle methodisch zu erweitern und die Auswirkungen zu maximieren." Der Cybersicherheitsanbieter stellte außerdem fest, dass die Ransomware-Ausführung im Durchschnitt etwa sechs Tage nach der initialen Kompromittierung erfolgte, was die Notwendigkeit für Organisationen unterstreicht, bösartige Aktivitäten so früh wie möglich zu erkennen und die Bereitstellung von Ransomware zu verhindern.  ### Warlocks Ausweichtechniken Die Enthüllung erfolgt, während die **Warlock**- (auch bekannt als Water Manaul) Ransomware-Gruppe weiterhin ungepatchte **Microsoft** SharePoint-Server ausnutzt und gleichzeitig ihren Werkzeugkasten für verbesserte Persistenz, laterale Bewegung und Verteidigungsumgehung aktualisiert. Dies beinhaltet die Verwendung von **TightVNC** für persistente Kontrolle und eines legitimen, aber anfälligen **NSec**-Treibers ("NSecKrnl.sys") in einem **BYOVD**-Angriff, um Sicherheitsprodukte auf Kernel-Ebene zu beenden und den in früheren Kampagnen verwendeten Treiber "googleApiUtil64.sys" zu ersetzen. Während des **Warlock**-Angriffs im Januar 2026 wurden auch die folgenden Werkzeuge beobachtet: * **PsExec**, für laterale Bewegung. * RDP Patcher, zur Ermöglichung gleichzeitiger RDP-Sitzungen. * **Velociraptor**, für Command-and-Control (C2). * Visual Studio Code und **Cloudflare** Tunnel, für das Tunneln von C2-Kommunikationen. * **Yuze**, für die Intranet-Penetration und den Aufbau einer Reverse-Proxy-Verbindung zum C2-Server des Angreifers über HTTP (Port 80), HTTPS (Port 443) und DNS (Port 53). * Rclone, für die Datenexfiltration. ### Abhilfestrategien Um **BYOVD**-Bedrohungen entgegenzuwirken, wird empfohlen, nur signierte Treiber von explizit vertrauenswürdigen Herausgebern zuzulassen, Treiberinstallationsereignisse zu überwachen und einen strengen Patch-Management-Zeitplan für die Aktualisierung von Sicherheitssoftware einzuhalten, insbesondere für solche mit treiberbasierten Komponenten, die ausgenutzt werden könnten. "**Warlocks** Abhängigkeit von anfälligen Treibern zur Deaktivierung von Sicherheitskontrollen erfordert eine mehrschichtige Verteidigung, die auf die Kernel-Integrität ausgerichtet ist", sagte **Trend Micro**. "Daher müssen Organisationen von grundlegendem Endpunktschutz auf die Durchsetzung einer strengen Treiberverwaltung und Echtzeitüberwachung von Kernel-Level-Aktivitäten umstellen."