Alati dizajnirani da onemoguće rješenja za otkrivanje krajnjih tačaka i odgovor (EDR) sve više ulaze u arsenal ransomware grupa, zaključio je ESET tokom istrage o povezanosti nekoliko poznatih grupa.
Nakon pada ransomware grupa LockBit i BlackCat u 2024. godini, novi hakeri stekli su značaj, uključujući RansomHub, organizaciju koja funkcioniše kao ransomware-as-a-service (RaaS) i koja se pojavila u februaru 2024. godine.
Kako su ransomware partneri migrirali iz raznih grupa, poput BlackCat partnera koji je navodno bio iza hakovanja Change Healthcare, RansomHub je postao i ostao dominantna grupa u digitalnom pejzažu.
U maju 2024. godine, ova grupa je svom arsenalu dodala EDRKillShifter, prilagođeni alat za onesposobljavanje EDR-a koji cilja brojne bezbjednosne sisteme. Ovaj alat koristi lozinku za zaštitu shellcode-a, koji djeluje kao srednji sloj tokom izvršavanja.
EDR alati se izvršavaju na mreži žrtve kako bi zaslijepili, oštetili ili ugasili svaki bezbjednosni softver koji se izvodi na lokalnim krajnjim tačkama. Dok se mogu koristiti i jednostavni skriptovi, sofisticiraniji alati implementiraju ranjive drajvere koje zatim zloupotrebljavaju za izvođenje malicioznih aktivnosti.
RansomHub je putem svog RaaS panela omogućio pristup EDRKillShifter-u svojim partnerima, ali je ESET primijetio da je ovaj alat korišćen i u napadima povezanima s drugim ransomware varijantama, uključujući Play, Medusa i BianLian.
Budući da su BianLian i Play zatvorenije ransomware operacije, njihov pristup alatu EDRKillShifter sugeriše da bi mogli sarađivati s RansomHub-om, preusmjeravajući RaaS alate u svojim napadima.
“Vjerujemo s visokim stepenom pouzdanosti da su sve ove napade izveli isti hakeri, koji djeluju kao partneri četiri ransomware grupe”, navodi ESET, nazivajući ovu grupu QuadSwitcher.
Povećana upotreba EDR alata među ransomware grupama
ESET je takođe primijetio da i drugi ransomware partneri koriste EDRKillShifter, dodajući da ovo nije jedini alat koji hakeri koriste za onesposobljavanje bezbjednosnog softvera. Zapravo, postoji “povećanje raznolikosti EDR alata koje ransomware partneri koriste”.
Povećana upotreba EDR alata dolazi kao reakcija na sve efikasnija bezbjednosna rješenja u otkrivanju malvera koji enkriptuje fajlove. ESET navodi da enkriptori rijetko dobijaju značajnije nadogradnje kako bi se izbjegao rizik od uvođenja ranjivosti.
Takođe, ESET naglašava da, iako postoji više od 1.700 ranjivih drajvera koje EDR alati mogu koristiti, samo se nekolicina njih zloupotrebljava, jer već postoji testirani kod koji ih cilja, pa hakeri ne moraju pisati novi kod ispočetka.
Osim RansomHub-a, samo je jedan drugi RaaS operater primijećen kako dodaje alat za onesposobljavanje EDR-a u svoju ponudu. Riječ je o grupi Embargo, koja na svom leak sajtu ima svega 14 žrtava. Njihov alat, nazvan MS4Killer, zasnovan je na javno dostupnom proof-of-concept (PoC) kodu.
Izvor: SecurityWeek
