ESET araştırmacıları, fidye yazılımı manzarasında önemli değişimleri vurgulayan ve Ransomhub’ın yükselişini vurgulayan derinlemesine bir analiz yayınladılar. Hizmet olarak bu nispeten yeni fidye yazılımı operasyonu hızla sahneye hükmetmeye başladı.
“Fidye yazılımına karşı mücadele 2024’te iki kilometre taşına ulaştı: Lockbit ve Blackcat, eskiden ilk iki çete, resimden düştü. Ve 2022’den bu yana ilk kez, kaydedilmiş bir%35’lik kaydedildi. Öte yandan, kayda değer bir şekilde artan bir şekilde artan bir şekilde, kayıtlı bir şekilde artan bir şekilde artan bir şekilde, kayıtlı bir şekilde artan bir şekilde artan bir şekilde artan bir şekilde artan bir şekilde artar. Lockbit faaliyetlerini bozan kolluk operasyonu Cronos döneminde ortaya çıkan yeni bir fidye yazılımı (RAAS) çetesi olan Ransomhub ”diyor Ransomhub’ı araştıran ESET araştırmacısı Jakub Souček.
Affliates’i çekmek
Tıpkı ortaya çıkan herhangi bir Raas çetesi gibi, Ransomhub’ın operatörlerden fidye yazılımı hizmetleri kiralayan iştirakleri çekmesi gerekiyordu ve sayılarda güç olduğu için operatörler çok seçici değildi.
İlk reklam, ilk kurbanların yayınlanmasından sekiz gün önce Şubat 2024’ün başlarında Rusça konuşan rampa forumunda yayınlandı. Ransomhub, Sovyet sonrası Bağımsız Devletler, Küba, Kuzey Kore veya Çin’den saldıran uluslara saldırmayı yasaklıyor. İlginç bir şekilde, bağlı kuruluşları cüzdanlarına tüm fidye ödemesini alacakları sözü veriyor ve operatörler bağlı kuruluşlara onlarla% 10’u paylaşmak için oldukça benzersiz bir şey güvendiler.
Edrkillshifter
Mayıs ayında, Ransomhub operatörleri önemli bir güncelleme yaptılar: Tipik olarak savunmasız bir sürücüyü kötüye kullanarak bir kurbanın sistemine yüklenen güvenlik ürününü sonlandırmak, kör etmek veya çökmek için tasarlanmış özel bir kötü amaçlı yazılım türü olan kendi EDR katilini tanıttılar.
Ransomhub’ın Edrkillshifter adlı EDR katili, çete tarafından geliştirilen ve korunan özel bir araçtır. Edrkillshifter Ransomhub iştiraklerine sunulur. İşlevsellik açısından, RansomHub operatörlerinin ihlal etmeyi amaçladıkları ağları korumayı bulmayı bekledikleri çok çeşitli güvenlik çözümlerini hedefleyen tipik bir EDR katilidir.
“Bir katili uygulama ve RAAS programının bir parçası olarak bağlı kuruluşlara sunma kararı nadirdir. Bağlı kuruluşlar, güvenlik ürünlerinden kaçınmanın yollarını bulmak için genellikle kendi başlarına – daha teknik olarak yönlendirilmiş olanlar, mevcut kavram kanıtlarını değiştirir veya EDR katillerini karanlık ağda hizmet olarak kullanılabilir olarak kullanılabilir, esset araştırmacıları açık bir artış gördü, eSET araştırmacıları” Souček.
Gelişmiş EDR katilleri iki bölümden oluşur – orkestrasyondan (katil kodu) sorumlu bir kullanıcı modu bileşeni ve meşru, ancak savunmasız bir sürücü. Yürütme tipik olarak çok basittir – katil kodu, genellikle verilerine veya kaynaklarına gömülü olan savunmasız sürücüyü yükler, güvenlik yazılımının süreç adlarının bir listesi üzerinde yinelenir ve savunmasız sürücüye bir komut verir, bu da güvenlik açığını tetiklemeye ve süreci çekirdek modundan öldürür.
Souček, “EDR katillerine karşı savunmak zor. Tehdit aktörlerinin bir EDR katili dağıtmak için yönetici ayrıcalıklarına ihtiyacı var, bu nedenle ideal olarak, varlıkları o noktaya ulaşmadan önce tespit edilmeli ve hafifletilmeli” diye ekliyor.
Çok çınak ilişkileri
ESET, Ransomhub’ın iştiraklerinin üç rakip çete için çalıştığını keşfetti – Play, Medusa ve Bianlian. Ransomhub ve Medusa arasında bir bağlantı keşfetmek o kadar da şaşırtıcı değildir, çünkü fidye yazılım iştiraklerinin aynı anda birden fazla operatör için çalıştığı yaygın bir bilgidir.
Medusa, Ransomhub, Bianlian ve oyun arasındaki bağlantıların şematik genel bakış. Kaynak: ESET
Öte yandan, Play ve Bianlian’ın Edrkillshifter’a erişimi açıklamanın bir yolu, her iki çetenin de kapalı doğası göz önüne alındığında, aynı fiilli iştiraki işe almalarıdır.
Bir başka, daha makul bir açıklama, Güvenilir Play ve Bianlian üyelerinin rakiplerle işbirliği yapmaları, hatta Ransomhub gibi yeni ortaya çıkanlarla bile işbirliği yapmaları ve daha sonra kendi saldırılarında bu rakiplerden aldıkları araçları yeniden düzenlemeleridir. Oyun Kuzey Kore’ye hizalanmış grup Andariel ile bağlantılı.