Genshin Impact Ransomware-Infektion: Gegner missbrauchen den Anti-Cheat-Treiber

Genshin Impact, ein beliebtes Open-World-Action-RPG, wird genutzt, um Ransomware zu verbreiten. Bedrohungsakteure missbrauchen mhyprot2.sys, einen anfälligen Anti-Cheat-Treiber, um Antivirus-Prozesse und -Dienste zu beenden, um Ransomware abzulegen. Durch die Verwendung des legitimen Treibers als Rootkit versuchen die Angreifer, zunächst die Ransomware auf dem Zielrechner abzulegen, mit dem Ziel, die Infektion anschließend auf andere Workstations zu verbreiten.

Erkennung von Ransomware-Ausnutzungen

Um Verhaltensweisen zu identifizieren, die mit dem Missbrauch des anfälligen mhyprot2.sys-Treibers von Genshin Impact verbunden sind, nutzen Sie die folgende Bedrohungserkennungsinhalte, die von erfahrenen Threat-Bounty-Mitwirkenden veröffentlicht wurden Kaan Yeniyol and Aykut Gürses:

Erkennung des Genshin Impact Anti-Cheat-Treibers in Ransomware-Aktivitäten

The Sigma-basierte Regeln sind im Bezug zum MITRE ATT&CK®-Framework v.10 und können über 26 von SOC Prime’s Plattform unterstützten SIEM-, EDR- und XDR-Lösungen angewendet werden.

Der Threat Detection Marketplace beherbergt über 130.000 geprüfte Erkennungsinhalte, darunter Erkennungen, Warnungen, Jagdabfragen und Playbooks. Etwa 140 neue Erkennungen werden jeden Monat hinzugefügt. Klicken Sie auf die Detect & Hunt Schaltfläche, um die speziell für qualitativ hochwertige Erkennungsinhalte gewidmete Seite zu erreichen, um mögliche Ransomware-Ausnutzungen zu identifizieren. Für aufschlussreiche Kontextinformationen klicken Sie auf die Explore Threat Context Schaltfläche und bohren Sie sich in die Liste relevanter Sigma-Regeln mit umfassenden Metadaten ein – keine Registrierung erforderlich.

Detect & Hunt Explore Threat Context

Die Vorfallanalyse

Die Offenlegung von Forschern von Trend Micro details einen aktuellen Missbrauch des Rollenspiels Genshin Impact durch Ransomware-Akteure. Laut den Forschungsdaten nutzen die Bedrohungsakteure einen anfälligen, codesignierten Treiber, der für die Anti-Cheat-Funktionen des Spiels verantwortlich ist. Durch den Missbrauch von mhyprot2.sys, einem Treiber im Anti-Cheat-System des Spiels, können Ransomware-Akteure die Systemprivilegien umgehen und die Endpoint-Schutzprozesse durch die Ausführung von Befehlen aus dem Kernel-Modus beenden.

Es wurde auch offenbart, dass diese Schwachstelle schon seit etwa zwei Jahren besteht und immer noch nicht behoben wurde.

Im Juli haben wir einige signifikante Verbesserungen am Threat Bounty Program von SOC Prime eingeführt. Erfahren Sie mehr über das Programm der produktivsten Entwickler von Erkennungsinhalten der Cyberwelt und sichern Sie sich einen Platz unter den Branchenführern mit SOC Prime.