Uma análise recente revelou conexões entre afiliados do RansomHub e outros grupos de ransomware como Medusa, BianLian e Play.
Essa conexão se origina do uso de uma ferramenta personalizada projetada para desativar softwares de endpoint detection and response (EDR) em hosts comprometidos, segundo a ESET.
A ferramenta de desativação de EDR, apelidada de EDRKillShifter, foi documentada pela primeira vez como sendo usada por atores do RansomHub em agosto de 2024.
O EDRKillShifter alcança seus objetivos por meio de uma tática conhecida como Bring Your Own Vulnerable Driver (BYOVD), que envolve o uso de um driver legítimo, porém vulnerável, para terminar soluções de segurança que protegem os endpoints.
A ideia por trás do uso de tais ferramentas é garantir a execução suave do encriptador de ransomware sem que ele seja detectado pelas soluções de segurança.
"Durante uma intrusão, o objetivo do afiliado é obter privilégios de admin ou domain admin," disseram os pesquisadores da ESET, Jakub Souček e Jan Holman, em um relatório compartilhado.
Operadores de ransomware tendem a não fazer atualizações maiores em seus encriptadores com frequência, devido ao risco de introduzir uma falha que poderia causar problemas, danificando ao final sua reputação.
Como resultado, fornecedores de segurança detectam os encriptadores bastante bem, ao que os afiliados reagem usando EDR killers para 'se livrar' da solução de segurança justo antes de executar o encriptador.
O que é notável aqui é que uma ferramenta sob medida, desenvolvida pelos operadores do RansomHub e oferecida a seus afiliados — algo por si só um fenômeno raro —, está sendo usada em outros ataques de ransomware associados a Medusa, BianLian e Play.
Esse aspecto assume especial significância à luz do fato de que tanto Play quanto BianLian operam sob o modelo fechado de RaaS (Ransomware as a Service), no qual os operadores não estão ativamente procurando contratar novos afiliados e suas parcerias são baseadas em confiança mútua de longo prazo.
"Membros confiáveis de Play e BianLian estão colaborando com rivais, até mesmo novos emergentes como RansomHub, e então reaproveitando as ferramentas que recebem desses rivais em seus próprios ataques," teorizou a ESET.
Isso é especialmente interessante, já que tais gangues fechadas tipicamente empregam um conjunto bastante consistente de ferramentas principais durante suas intrusões.
Suspeita-se que todos esses ataques de ransomware tenham sido realizados pelo mesmo ator de ameaças, apelidado de QuadSwitcher, que provavelmente tem relação mais próxima com o Play devido a semelhanças na arte de invadir tipicamente associadas às intrusões do Play.
O EDRKillShifter também foi observado sendo usado por outro afiliado individual de ransomware conhecido como CosmicBeetle como parte de três ataques diferentes do RansomHub e falsos ataques do LockBit.
O desenvolvimento acontece em meio a um aumento nos ataques de ransomware usando técnicas BYOVD para implantar EDR killers em sistemas comprometidos.
No ano passado, a gangue de ransomware conhecida como Embargo foi descoberta usando um programa chamado MS4Killer para neutralizar softwares de segurança.
Recentemente, neste mês, a equipe do ransomware Medusa foi associada a um driver malicioso personalizado codinomeado ABYSSWORKER.
"Atores de ameaças precisam de privilégios de admin para implantar um EDR killer, então idealmente, sua presença deve ser detectada e mitigada antes de alcançarem esse ponto," disse a ESET.
Usuários, especialmente em ambientes corporativos, devem garantir que a detecção de aplicações potencialmente inseguras esteja ativada.
Isso pode prevenir a instalação de drivers vulneráveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...