Výskumníci spoločnosti ESET zverejnili hĺbkovú analýzu o významných zmenách v ekosystéme ransomvéru so zameraním na novovzniknutý a v súčasnosti dominantný gang RansomHub, ktorý ponúka ransomvér ako službu (Ransomware as a service – RaaS). Správa obsahuje doteraz nepublikované poznatky o partnerskej štruktúre RansomHubu a odhaľuje prepojenia medzi týmto rozmáhajúcim sa gigantom a etablovanými gangmi Play, Medusa a BianLian. Okrem toho ESET upozorňuje na aktuálnu hrozbu nástrojov na znefunkčnenie EDR riešení (Endpoint Detection and Response) a odhaľuje EDRKillShifter – vlastný nástroj vyvinutý a udržiavaný RansomHubom.
- Výskumníci spoločnosti ESET zverejnili analýzu súčasného ekosystému ransomvéru so zameraním na gang poskytujúci ransomvér ako službu (RaaS) – RansomHub.
- ESET objavil prepojenia medzi ransomvérovými gangmi RansomHub, Play, Medusa a BianLian sledovaním stopy nástrojov, ktoré RansomHub ponúka svojim partnerom.
- Analýza spoločnosti ESET odkrýva zistenia o nástroji na znefunkčenie bezpečnostných riešení EDRKillShifter a ponúka pohľad na rozmáhajúcu sa hrozbu týchto nástrojov.
„Boj proti ransomvéru dosiahol v roku 2024 dva míľniky: LockBit a BlackCat, pôvodne dva najväčšie gangy, vypadli z hry. A prvýkrát od roku 2022 zaznamenané platby ransomvéru výrazne klesli, a to o ohromujúcich 35 %. Na druhej strane, zaznamenaný počet obetí oznámených na špecializovaných stránkach s únikmi sa zvýšil zhruba o 15 %. Veľký podiel na tomto náraste má RansomHub, nový ransomware-as-a-service (RaaS) gang, ktorý sa objavil v čase operácie Cronos, ktorá narušila aktivity LockBitu,“ hovorí výskumník spoločnosti ESET Jakub Souček, ktorý RansomHub skúmal.
Tak ako každý vznikajúci RaaS gang, aj RansomHub potreboval prilákať partnerov, ktorí si od operátorov prenajímajú ransomvérové služby a títo operátori neboli veľmi vyberaví. Prvotný inzerát bol zverejnený na rusky hovoriacom fóre RAMP začiatkom februára 2024, osem dní pred zverejnením prvých obetí. RansomHub zakazuje útočiť na postsovietske krajiny, Kubu, Severnú Kóreu alebo Čínu. Zaujímavosťou je, že zákazníkov láka na prísľub platby výkupného na ich účet v plnej výške, pričom operátori dôverujú partnerom, že sa s nimi podelia o 10 % z tejto sumy. To je na ransomvérovej scéne unikátne.
V máji operátori RansomHubu uskutočnili významnú aktualizáciu: predstavili vlastný „EDR killer“ – špeciálny typ malvéru navrhnutý na zneškodnenie alebo zaslepenie bezpečnostného produktu nainštalovaného v systéme obete, ktorý zvyčajne zneužije zraniteľný ovládač.
Nástroj na znefunkčnenie EDR z dielne RansomHubu, nazvaný EDRKillShifter, je vlastným nástrojom tohto gangu, ktorý ho vyvinul a udržiava. Tento nástroj skupina ponúka potenciálnym zákazníkom a partnerom. Z funkčného hľadiska ide o typický nástroj na znefunkčnenie EDR zameraný na veľké množstvo bezpečnostných riešení.
„Rozhodnutie implementovať EDR killer a sprístupniť ho partnerom ako súčasť RaaS programu je nezvyčajné. Partneri si väčšinou musia sami nájsť spôsoby, ako obísť bezpečnostné riešenia – niektorí opakovane používajú existujúce nástroje, zatiaľ čo technicky zdatnejší aktéri si upravujú funkčné prototypy alebo využívajú EDR killery dostupné ako služba na dark webe. Naši výskumníci zaznamenali prudký nárast používania nástroja EDRKillShifter, a to nielen v prípadoch spojených so skupinou RansomHub,“ vysvetľuje Souček.
Pokročilé EDR killery sa zvyčajne skladajú z dvoch častí – komponentu v používateľskom režime, ktorý zodpovedá za koordináciu (tzv. killer kód), a legitímneho, no zraniteľného ovládača (drivera). Ich spustenie býva spravidla veľmi priamočiare – killer kód nainštaluje zraniteľný ovládač, ktorý býva typicky súčasťou jeho dát alebo zdrojov, následne prechádza zoznam názvov procesov bezpečnostného softvéru a vydáva príkaz zraniteľnému ovládaču, čím dôjde k zneužitiu zraniteľnosti a ukončeniu cieľového procesu z kernel módu.
„Obrana proti EDR killerom je náročná. Útočníci na ich nasadenie potrebujú administrátorské oprávnenia, preto je ideálne ich aktivitu odhaliť a zastaviť ešte predtým, než k týmto oprávneniam získajú prístup,“ dodáva Souček.
ESET zistil, že partneri RansomHubu pracujú pre tri konkurenčné gangy – Play, Medusa a BianLian. Odhalenie prepojenia medzi RansomHubom a Medusou nie je až také prekvapujúce, keďže je všeobecne známe, že ransomvéroví partneri často pracujú pre viacerých operátorov súčasne. Na druhej strane, jedno z možných vysvetlení toho, prečo majú skupiny Play a BianLian prístup k nástroju EDRKillShifter, je, že si najali rovnakého partnera RansomHubu – to je však vzhľadom na uzavretú povahu oboch gangov nepravdepodobné. Pravdepodobnejším vysvetlením je, že dôveryhodní členovia skupín Play a BianLian spolupracujú s konkurenčnými skupinami, vrátane nových aktérov ako je RansomHub, a následne preberajú a upravujú nástroje získané od týchto rivalov na vlastné útoky. Play bola spojená so skupinou Andariel, ktorá je napojená na Severnú Kóreu.
Podrobnejšiu analýzu gangu RansomHub a nástroja EDRKillShifter nájdete v blogu na stránke WeLiveSecurity.com. Pre najnovšie odhalenia nezabudnite sledovať výskumníkov spoločnosti ESET na sieťach X (niekdajší Twitter), BlueSky a Mastodon.
Zdroj: ESET
