Un nuevo investigación ha descubierto conexiones entre los afiliados de Ransomhub y otros grupos de ransomware como Medusa, Bianlian y Play.
La conexión se deriva del uso de una utensilio personalizada que está diseñada para deshabilitar el software de detección y respuesta de punto final (EDR) en hosts comprometidos, según ESET. La utensilio de homicidio EDR, denominada EDRKillShifter, se documentó por primera vez según lo utilizado por los actores de Ransomhub en agosto de 2024.
Edrkillshifter logra sus objetivos mediante una táctica conocida indicación Trae Your Own Delicado Driver (BYOVD) que implica el uso de un conductor auténtico pero delicado para finalizar las soluciones de seguridad que protegen los puntos finales.
La idea con el uso de tales herramientas es avalar la ejecución sin problemas del enigmático de ransomware sin que la seguridad se marcara.
“Durante una intrusión, el objetivo del afiliado es obtener privilegios de administrador de administrador o dominio”, dijeron los investigadores de ESET Jakub Souček y Jan Holman en un crónica compartido con Hacker News.
“Los operadores de ransomware tienden a no hacer actualizaciones importantes de sus encriptadores con demasiada frecuencia conveniente al peligro de introducir un defecto que pueda causar problemas, en última instancia, dañar su reputación. Como resultado, los proveedores de seguridad detectan proporcionado adecuadamente a los cifrados, a los que los afiliados reaccionaron mediante el uso de asesinos EDR para ‘deshacerse de la posibilidad de seguridad solo ayer de ejecutar el encriptador”.
Lo que es trascendental aquí es que una utensilio a medida desarrollada por los operadores de Ransomhub y ofrecido a sus afiliados, poco así como un engendro raro en sí mismo, se está utilizando en otros ataques de ransomware asociados con Medusa, Bianlian y el grupo.
Este aspecto asume un significado exclusivo a la luz del hecho de que tanto el grupo como el bianlian operan bajo el maniquí RAAS cerrado, en el que los operadores no buscan activamente contratar nuevas afiliadas y sus asociaciones se basan en la confianza mutua a espacioso plazo.
“Los miembros de confianza de Play y Bianlian están colaborando con sus rivales, incluso los recién emergidos como Ransomhub, y luego reutilizando las herramientas que reciben de esos rivales en sus propios ataques”, teorizó Eset. “Esto es especialmente interesante, ya que tales pandillas cerradas generalmente emplean un conjunto proporcionado consistente de herramientas centrales durante sus intrusiones”.
Se sospecha que todos estos ataques de ransomware han sido llevados a angla por el mismo actor de amenaza, denominado Quadswitcher, que probablemente está relacionado con el grupo más cercano a las similitudes en Tradecraft típicamente asociadas con las intrusiones del grupo.
Todavía se ha observado que Edrkillshifter es utilizado por otro afiliado individual de ransomware conocido como CosmicBeetle como parte de tres ataques diferentes de Ransomhub y Lockbit falsos.
El crecimiento se produce en medio de un aumento en los ataques de ransomware utilizando técnicas BYOVD para implementar asesinos EDR en sistemas comprometidos. El año pasado, la pandilla de ransomware conocida como secuestro se descubrió utilizando un software llamado MS4Killer para contrapesar el software de seguridad. Tan recientemente como este mes, el equipo de Ransomware de Medusa se ha vinculado a un regulador zorro personalizado con nombre en código Abyssworker.
“Los actores de amenaza necesitan privilegios de delegación para desplegar un diabólico EDR, por lo que idealmente, su presencia debe ser detectada y mitigada ayer de datar a ese punto”, dijo Eset.
“Los usuarios, especialmente en entornos corporativos, deben avalar que la detección de aplicaciones potencialmente inseguras esté habilitada. Esto puede evitar la instalación de controladores vulnerables”.
