Un nuevo análisis ha descubierto conexiones entre los afiliados de Ransomhub y otros grupos de ransomware como Medusa, Bianlian y Play.
La conexión se deriva del uso de una herramienta personalizada que está diseñada para deshabilitar el software de detección y respuesta de punto final (EDR) en hosts comprometidos, según ESET. La herramienta de asesinato EDR, denominada EDRKillShifter, se documentó por primera vez según lo utilizado por los actores de Ransomhub en agosto de 2024.
Edrkillshifter logra sus objetivos mediante una táctica conocida llamada Trae Your Own Vulnerable Driver (BYOVD) que implica el uso de un conductor legítimo pero vulnerable para finalizar las soluciones de seguridad que protegen los puntos finales.
La idea con el uso de tales herramientas es garantizar la ejecución sin problemas del cifrado de ransomware sin que la seguridad se marcara.
«Durante una intrusión, el objetivo del afiliado es obtener privilegios de administración de administrador o dominio», dijeron los investigadores de ESET Jakub Souček y Jan Holman en un informe compartido con Hacker News.
«Los operadores de ransomware tienden a no hacer actualizaciones importantes de sus encriptadores con demasiada frecuencia debido al riesgo de introducir un defecto que pueda causar problemas, en última instancia, dañar su reputación. Como resultado, los proveedores de seguridad detectan bastante bien a los cifrados, a los que los afiliados reaccionaron mediante el uso de asesinos EDR para ‘deshacerse de la solución de seguridad solo antes de ejecutar el encriptador».
Lo que es notable aquí es que una herramienta a medida desarrollada por los operadores de Ransomhub y ofrecido a sus afiliados, algo así como un fenómeno raro en sí mismo, se está utilizando en otros ataques de ransomware asociados con Medusa, Bianlian y el juego.
Este aspecto asume un significado especial a la luz del hecho de que tanto el juego como el bianlian operan bajo el modelo RAAS cerrado, en el que los operadores no buscan activamente contratar nuevas afiliadas y sus asociaciones se basan en la confianza mutua a largo plazo.
«Los miembros de confianza de Play y Bianlian están colaborando con sus rivales, incluso los recién emergidos como Ransomhub, y luego reutilizando las herramientas que reciben de esos rivales en sus propios ataques», teorizó Eset. «Esto es especialmente interesante, ya que tales pandillas cerradas generalmente emplean un conjunto bastante consistente de herramientas centrales durante sus intrusiones».
Se sospecha que todos estos ataques de ransomware han sido llevados a cabo por el mismo actor de amenaza, denominado Quadswitcher, que probablemente está relacionado con el juego más cercano a las similitudes en Tradecraft típicamente asociadas con las intrusiones del juego.
También se ha observado que Edrkillshifter es utilizado por otro afiliado individual de ransomware conocido como CosmicBeetle como parte de tres ataques diferentes de Ransomhub y Lockbit falsos.
El desarrollo se produce en medio de un aumento en los ataques de ransomware utilizando técnicas BYOVD para implementar asesinos EDR en sistemas comprometidos. El año pasado, la pandilla de ransomware conocida como embargo se descubrió utilizando un programa llamado MS4Killer para neutralizar el software de seguridad. Tan recientemente como este mes, el equipo de Ransomware de Medusa se ha vinculado a un controlador malicioso personalizado con nombre en código Abyssworker.
«Los actores de amenaza necesitan privilegios de administración para desplegar un asesino EDR, por lo que idealmente, su presencia debe ser detectada y mitigada antes de llegar a ese punto», dijo Eset.
«Los usuarios, especialmente en entornos corporativos, deben garantizar que la detección de aplicaciones potencialmente inseguras esté habilitada. Esto puede evitar la instalación de controladores vulnerables».