Bài viết cung cấp cái nhìn chi tiết về mối liên hệ giữa nhóm ransomware-as-a-service (RaaS) mới nổi RansomHub và các băng nhóm ransomware đã được thành lập.
1. Công cụ EDRKillShifter:
RansomHub đã giới thiệu EDRKillShifter, một công cụ tiêu diệt EDR được xây dựng tùy chỉnh, vào tháng 5 năm 2024. Công cụ này được thiết kế để chấm dứt, làm mù hoặc làm hỏng các sản phẩm bảo mật trên hệ thống nạn nhân bằng cách khai thác các driver dễ bị tổn thương.
2. Sự phổ biến trong cộng đồng ransomware:
EDRKillShifter đã trở nên phổ biến among các đối tác ransomware, mở rộng việc sử dụng nó ra ngoài hoạt động của RansomHub. Nó hiện đang được sử dụng bởi nhiều nhóm ransomware khác, bao gồm Play, Medusa và BianLian.
3. Tác nhân đe dọa QuadSwitcher:
Các nhà nghiên cứu của ESET đã xác định một tác nhân đe dọa được gọi là “QuadSwitcher,” người đã triển khai EDRKillShifter trong nhiều hoạt động ransomware được cho là của RansomHub, Play, Medusa và BianLian từ tháng 7 đến tháng 8 năm 2024. Điều này cho thấy mức độ hợp tác cao giữa các nhóm trước đây được cho là đối kháng.
4. Kỹ thuật BYOVD:
EDRKillShifter khai thác kỹ thuật Bring Your Own Vulnerable Driver (BYOVD), cho phép sử dụng một driver hợp pháp nhưng dễ bị tổn thương để thực hiện các hành động độc hại từ chế độ kernel. Kỹ thuật này được ưa chuộng vì cho phép các tác nhân đe dọa tái sử dụng mã khai thác đã được thử nghiệm thay vì phát triển các kỹ thuật mới từ đầu.
5. Độ phức tạp của hệ sinh thái ransomware:
Nghiên cứu nhấn mạnh tính chất phức tạp và liên kết của hệ sinh thái ransomware. Ngay cả những băng nhóm đã được thiết lập hoạt động dưới các mô hình RaaS kín cũng có thể đang hợp tác với những người mới như RansomHub, chứng minh sức mạnh của hệ sinh thái ransomware mặc dù đã có những thành công gần đây của các cơ quan thực thi pháp luật.
6. Thách thức đối với các nhà bảo vệ:
Việc bao gồm các công cụ tiêu diệt EDR trong các dịch vụ RaaS tạo ra những thách thức đáng kể cho các chuyên gia an ninh mạng. ESET khuyến nghị tập trung vào việc ngăn chặn việc thực hiện mã tiêu diệt, cho phép phát hiện các ứng dụng có thể không an toàn, và duy trì quản lý bản vá để giảm thiểu rủi ro từ các driver dễ bị tổn thương.
7. Hệ quả đối với cơ quan thực thi pháp luật:
Việc theo dõi việc sử dụng các công cụ cụ thể như EDRKillShifter có thể giúp xác định mối liên kết giữa các hoạt động ransomware dường như khác biệt, điều này có thể rất quý giá cho các nỗ lực của cơ quan thực thi pháp luật nhằm làm gián đoạn các mạng lưới ransomware.
Tóm lại, bài viết nhấn mạnh sự phát triển của các chiến thuật của các nhóm ransomware, việc gia tăng sử dụng các công cụ tiêu diệt EDR, và mạng lưới phức tạp các mối quan hệ trong hệ sinh thái ransomware. Nó nhấn mạnh sự cần thiết của các chiến lược bảo mật toàn diện và các phương pháp đa dạng để chống lại ransomware.
