Een nieuwe analyse heeft verbindingen ontdekt tussen gelieerde ondernemingen van Ransomhub en andere ransomware -groepen zoals Medusa, Bianlian en Play.
De verbinding komt voort uit het gebruik van een aangepaste tool die is ontworpen om Endpoint Detection and Response (EDR) -software uit te schakelen op gecompromitteerde hosts, volgens ESET. De EDR Killing Tool, nagesynchroniseerd EDRKillshifter, werd voor het eerst gedocumenteerd zoals gebruikt door Ransomhub -acteurs in augustus 2024.
EDRKillshifter bereikt zijn doelen door middel van een bekende tactiek genaamd Bring Your Own Encnerable Driver (BYOVD) waarbij een legitieme maar kwetsbare bestuurder wordt gebruikt om beveiligingsoplossingen te beëindigen die de eindpunten beschermen.
Het idee met het gebruik van dergelijke tools is om de soepele uitvoering van de ransomware -encryptor te waarborgen zonder dat deze wordt gemarkeerd door beveiligingsoplossingen.
“Tijdens een inbraak is het doel van de gelieerde onderneming om admin- of domeinbeheerderrechten te verkrijgen,” zeiden ESET -onderzoekers Jakub Souček en Jan Holman in een rapport gedeeld met het Hacker News.
“Ransomware -operators hebben de neiging om niet te vaak grote updates van hun encryptors te doen vanwege het risico van het introduceren van een fout die problemen kan veroorzaken, waardoor hun reputatie uiteindelijk wordt beschadigd. Dientengevolge detecteren beveiligingsleveranciers de encryptors vrij goed, waaraan de gelieerde ondernemingen reageren door EDR -moordenaars te gebruiken om ‘de beveiligingsoplossing te ontdoen’, de beveiligingsoplossing, de beveiligingsoplossing, de beveiligingsoplossing, de beveiligingsoplossing die de encryptor uitvoert ‘.
Wat hier opmerkelijk is, is dat een op maat gemaakte tool die is ontwikkeld door de operators van Ransomhub en aan zijn gelieerde ondernemingen wordt aangeboden – iets van een zeldzaam fenomeen op zich – wordt gebruikt bij andere ransomware -aanvallen geassocieerd met Medusa, Bianlian en Play.
Dit aspect veronderstelt speciale betekenis in het licht van het feit dat zowel spelen als Bianlian opereren onder het gesloten RAAS-model, waarbij de operators niet actief op zoek zijn naar nieuwe gelieerde ondernemingen en hun partnerschappen zijn gebaseerd op langdurige wederzijds vertrouwen.
“Vertrouwde leden van Play en Bianlian werken samen met rivalen, zelfs nieuw opkomende zoals Ransomhub, en vervolgens de tooling die ze ontvangen van die rivalen in hun eigen aanvallen hergebruiken,” theoretiseerde Eset. “Dit is vooral interessant, omdat zulke gesloten bendes doorgaans een vrij consistente set kernhulpmiddelen gebruiken tijdens hun intrusies.”
Er wordt vermoed dat al deze ransomware -aanvallen zijn uitgevoerd door dezelfde dreigingsacteur, genaamd Quadswitcher, die waarschijnlijk verband houdt met het dichtst bij de overeenkomsten in overeenkomsten in handel die meestal geassocieerd is met spelintrusies.
EDRKillshifter is ook waargenomen dat wordt gebruikt door een ander individueel ransomware -filiaal dat bekend staat als Cosmicbeetle als onderdeel van drie verschillende ransomhub en nep -lockbit -aanvallen.
De ontwikkeling komt te midden van een toename van ransomware -aanvallen met behulp van BYOVD -technieken om EDR -moordenaars op gecompromitteerde systemen te implementeren. Vorig jaar werd de ransomware -bende bekend als Embargo ontdekt met behulp van een programma genaamd MS4Killer om beveiligingssoftware te neutraliseren. Zo recent als deze maand is de Medusa Ransomware -bemanning gekoppeld aan een aangepaste kwaadwillende codenaam Abyssworker.
“Dreigingsactoren hebben admin -privileges nodig om een EDR -moordenaar in te zetten, dus idealiter moet hun aanwezigheid worden gedetecteerd en beperkt voordat ze dat punt bereiken,” zei Eset.
“Gebruikers, met name in bedrijfsomgevingen, moeten ervoor zorgen dat de detectie van mogelijk onveilige applicaties is ingeschakeld. Dit kan de installatie van kwetsbare stuurprogramma’s voorkomen.”
