ABYSSWORKER: Kwaadaardig stuurprogramma schakelt securitytools uit

Een nieuwe cyberaanval zet een stuurprogramma genaamd ABYSSWORKER in om securitysoftware uit te schakelen. Het stuurprogramma maakt deel uit van een financieel-gedreven campagne waarbij MEDUSA ransomware wordt verspreid.

Dat ontdekten securityonderzoekers van Search AI-bedrijf Elastic. Door gebruik te maken van een ondertekend certificaat weet de malware beveiligingssystemen te omzeilen. Criminelen gebruiken vaker eigen stuurprogramma’s om beveiligingssystemen buitenspel te zetten. In het geval van ABYSSWORKER wordt een ingetrokken, certificaat-ondertekend stuurprogramma van een Chinese leverancier gebruikt.

Hoe ABYSSWORKER te werk gaat

De kracht van ABYSSWORKER schuilt in de manier waarop het beveiligingssystemen misleidt. Omdat het stuurprogramma een officiële ondertekening heeft, wordt het door veel beveiligingssystemen als betrouwbaar beschouwd. Hierdoor passeert het zonder verificatie de verdedigingslinies van het systeem.

Eenmaal geïnstalleerd op het systeem van het slachtoffer, gebruikt ABYSSWORKER zijn privileges om verschillende EDR-leveranciers (Endpoint Detection and Response) aan te vallen en uit te schakelen. Dit creëert een opening voor de MEDUSA ransomware om ongezien het systeem binnen te dringen.

Geen nieuw concept, wel nieuwe toepassing

Hoewel de methode niet helemaal nieuw is, laat de huidige toepassing een zorgwekkende evolutie zien. Het ‘EDR-killer’ stuurprogramma werd voor het eerst gerapporteerd door Mandiant in 2022 in een andere campagne. Toen werd echter een ander certificaat en andere IO-controlecodes gebruikt.

Volgens de telemetrie van Elastic is ABYSSWORKER specifiek ingezet in gerichte ransomware-operaties. De geavanceerde aard van deze aanvallen wijst op betrokkenheid van goed georganiseerde en goed toegeruste dreigingsactoren. De modulaire opbouw van de malware, het gebruik van meerdere lagen verduistering en de focus op het ontwijken van beveiligingsmechanismen illustreren de toenemende complexiteit van moderne ransomware-ecosystemen.

Tip: Politie introduceert online aangifte voor bedrijven bij ransomware

Keuze van de redactie

CVE-database MITRE op allerlaatste moment gered

De Amerikaanse overheid verlengt de financiering voor de Common Vulne...

Insight: Analytics

Lees meer over Security

Top story

Hoe erg is het als de MITRE CVE-database verdwijnt?

Moeten we de CVE-database in Europa hosten?

Sander Almekinders 3 uren geleden

Whitepapers

ABYSSWORKER: Kwaadaardig stuurprogramma schakelt securitytools uit

Hoe ABYSSWORKER te werk gaat

Geen nieuw concept, wel nieuwe toepassing

Blijf op de hoogte, abonneer!

CVE-database MITRE op allerlaatste moment gered

Einde support van Exchange 2016 en 2019 nadert, opvolger laat op zich wachten

Ubuntu 25.04 Plucky Puffin is nu beschikbaar: wat is er nieuw?

Google laat AI-agents data-werk in BigQuery en Looker afhandelen

Data-analisten nog altijd erg afhankelijk van spreadsheets

ThoughtSpot verklaart BI dashboards dood, gaat voor moderne analytics

Volwassen benadering geeft SAS een voordeel in AI-markt

Probeer gratis het nieuwste high-end Synology backup-systeem

Versterk je cybersecurity met DNS best practices

Navigeren door technologische ontwrichting

Hoe selecteer je het juiste ERP-systeem?

GITEX ASIA

SAS Innovate 2025

.NEXT 2025

LambdaConf 2025

Qlik Connect 2025

Red Hat Summit

AI & Data Architect

Cloud Account Executive – Slack