Инструменти, предназначени за деактивиране на решения за откриване и реагиране на крайни точки (EDR), си проправят път към арсенала на все повече банди за рансъмуер, заключи ESET по време на разследване на връзка между няколко добре познати групи.
След разпадането на групите за рансъмуер LockBit и BlackCat през 2024 г., нови банди се прочуха, включително RansomHub, организация за рансъмуер като услуга (RaaS), която се появи през февруари 2024 г.
Тъй като филиали на рансъмуер мигрираха от различни групи към нея, като например филиалът на BlackCat, за който се твърди, че стои зад хакерската атака срещу Change Healthcare, RansomHub се превърна и остана доминиращата заплаха в пейзажа.
През май 2024 г. групата добави към арсенала си EDRKillShifter – персонализиран инструмент за убиване на EDR, насочен към множество решения за сигурност, който разчита на парола за защита на шелкода, действащ като междинен слой по време на изпълнението му.
Убийците на EDR се изпълняват в мрежата на жертвата, за да заслепят, повредят или прекратят всяко решение за сигурност, работещо на локалните крайни точки. Въпреки че могат да се използват обикновени скриптове, по-сложните инструменти разполагат с уязвими драйвери, които след това се използват за извършване на злонамерената дейност.
RansomHub предоставя EDRKillShifter на своите филиали чрез панела RaaS, до който те имат достъп, но ESET наблюдава, че той се използва в атаки, включващи други варианти на ransomware, включително Play, Medusa и BianLian.
Тъй като BianLian и Play са по-скоро затворени операции с рансъмуер, достъпът им до EDRKillShifter предполага, че те може да си сътрудничат с RansomHub, използвайки повторно инструментите на RaaS в своите атаки.
„Смятаме с голяма увереност, че всички тези атаки са извършени от един и същ изпълнител, работещ като филиал на четирите банди за рансъмуер“, отбелязва ESET, като посочва заплахата като QuadSwitcher.
Други филиали на ransomware също са били забелязани да използват EDRKillShifter, казва ESET, добавяйки, че това не е единственият инструмент, който заплахите използват, за да деактивират софтуер за сигурност. Всъщност, казва тя, се наблюдава „увеличаване на разнообразието от EDR убийци, използвани от филиали на ransomware“.
Увеличеното използване на EDR убийци се разглежда като реакция на решенията за сигурност, които са по-ефективни при откриването на зловреден софтуер, криптиращ файлове. ESET отбелязва, че криптиращите програми рядко получават големи актуализации, за да се избегне рискът от въвеждане на недостатъци.
Фирмата за киберсигурност също така отбелязва, че макар да има над 1700 уязвими драйвери, които решенията за убиване на EDR биха могли да използват, само с няколко от тях се злоупотребява, тъй като има тестван код, насочен към тях, и на участниците в заплахите не се налага да пишат нов код от нулата.
Освен RansomHub, само един друг оператор на RaaS е забелязан да добавя EDR killer към офертата си, а именно Embargo, който има само 14 жертви, изброени на сайта му за изтичане на информация. Наречен MS4Killer, неговият инструмент се основава на публичен код за доказване на концепцията (PoC).