Una nuova analisi ha scoperto connessioni tra affiliati di Ransomhub e altri gruppi di ransomware come Medusa, BianlianoE Giocare.
La connessione deriva dall’uso di uno strumento personalizzato progettato per disabilitare il software program di rilevamento e risposta endpoint (EDR) su host compromessi, secondo ESET. Lo strumento di uccisione EDR, soprannominato EDRKILLSHIFTERè stato documentato per la prima volta come utilizzato dagli attori di Ransomhub nell’agosto 2024.
EDRKILLSHIFTER raggiunge i suoi obiettivi mediante una tattica nota chiamata Porta il tuo driver vulnerabile (BYOVD) che prevede l’uso di un driver legittimo ma vulnerabile per interrompere le soluzioni di sicurezza che proteggono gli endpoint.
L’thought di utilizzare tali strumenti è quella di garantire l’esecuzione regolare del crittografico ransomware senza che sia contrassegnato da soluzioni di sicurezza.
“Durante un’intrusione, l’obiettivo dell’affiliato è quello di ottenere privilegi di amministrazione di amministrazione o dominio”, i ricercatori ESET Jakub Souček e Jan Holman disse In un rapporto condiviso con le notizie di Hacker.
“Gli operatori di ransomware tendono a non fare importanti aggiornamenti dei loro criptori troppo spesso a causa del rischio di introdurre un difetto che potrebbe causare problemi, in definitiva danneggiando la loro reputazione. Di conseguenza, i fornitori di sicurezza rilevano abbastanza bene i criptori.
La cosa noto qui è che uno strumento su misura sviluppato dagli operatori di Ransomhub e offerto ai suoi affiliati – qualcosa di un raro fenomeno in sé – viene utilizzato in altri attacchi ransomware associati a Medusa, Bianlian e Play.
Questo aspetto presuppone un significato speciale alla luce del fatto che sia il gioco che Bianlian operano sotto il modello RAAS chiuso, in cui gli operatori non stanno attivamente cercando di assumere nuovi affiliati e le loro partnership si basano sulla fiducia reciproca a lungo termine.
“I membri fidati di Play e Bianlian stanno collaborando con i rivali, anche quelli appena emersi come RansomHub, e quindi riproposando gli strumenti che ricevono da quei rivali nei loro stessi attacchi”, ha teorizzato ESET. “Ciò è particolarmente interessante, dal momento che tali bande chiuse in genere impiegano un insieme piuttosto coerente di strumenti fondamentali durante le loro intrusioni.”
Si sospetta che tutti questi attacchi ransomware siano stati effettuati dallo stesso attore di minaccia, soprannominato Quadswitcher, che è probabilmente legato a giocare il più vicino a causa di somiglianze nel ferita tipicamente affiliate alle intrusioni di gioco.
Edrkillshifter è stato anche osservato che viene utilizzato da un altro affiliato di ransomware individuale noto come Cosmicbeetle Come parte di tre diversi attacchi di ransomhub e falsi blocchi.
Lo sviluppo arriva in mezzo a un aumento degli attacchi ransomware usando Tecniche BYOVD Distribuire gli assassini EDR su sistemi compromessi. L’anno scorso, la banda di ransomware noto come embargo è stata scoperta usando un programma chiamato Ms4killer per neutralizzare il software program di sicurezza. Di recente questo mese, l’equipaggio di Ransomware Medusa è stato collegato a un driver malizioso personalizzato CONDAMED Abissworker.
“Gli attori delle minacce hanno bisogno di privilegi di amministrazione per distribuire un killer EDR, quindi idealmente, la loro presenza dovrebbe essere rilevata e mitigata prima di raggiungere quel punto”, ha detto ESET.
“Gli utenti, in particolare negli ambienti aziendali, dovrebbero garantire che il rilevamento di applicazioni potenzialmente non sicuro sia abilitata. Ciò può impedire l’installazione di driver vulnerabili.”
