Yeni bir analiz, Ransomhub iştirakleri ile Medusa, Bianlian ve Play gibi diğer fidye yazılım grupları arasındaki bağlantıları ortaya çıkardı.
ESET’e göre bağlantı, uzatılmış ana bilgisayarlarda uç nokta algılama ve yanıt (EDR) yazılımını devre dışı bırakmak için tasarlanmış özel bir aracın kullanımından kaynaklanmaktadır. Edrkillshifter olarak adlandırılan EDR Öldürme Aracı, ilk olarak Ağustos 2024’te Ransomhub aktörleri tarafından kullanılan belgelendi.
EdrkillShifter, uç noktaları koruyan güvenlik çözümlerini sonlandırmak için meşru ama savunmasız bir sürücüyü kullanmayı içeren kendi savunmasız sürücünüzü (BYOVD) getiren bilinen bir taktik aracılığıyla hedeflerini gerçekleştirir.
Bu tür araçları kullanma fikri, fidye yazılımı şifrelemesinin güvenlik çözümleri tarafından işaretlenmeden sorunsuz bir şekilde yürütülmesini sağlamaktır.
ESET araştırmacıları Jakub Souček ve Jan Holman, hacker News ile paylaşılan bir raporda, “Bir izinsiz giriş sırasında, iştirakin amacı yönetici veya etki alanı yönetici ayrıcalıkları elde etmektir.” Dedi.
“Fidye yazılımı operatörleri, sorunlara neden olabilecek bir kusur getirme riski nedeniyle şifreleyicilerinin büyük güncellemelerini yapmama eğilimindedir. Sonuç olarak, güvenlik satıcıları, şirketlerin şifrelemeleri oldukça iyi tespit ederler, iştirakler, şifrelemeleri, şifrelemeleri icriptor’u yürütmeden önce, güvenlik çözümünden kurtulmak için kullanarak tepki verirler.”
Burada dikkat çekici olan şey, Ransomhub operatörleri tarafından geliştirilen ve bağlı kuruluşlarına – kendi içinde nadir bir fenomen olan bir şey olan – Medusa, Bianlian ve Play ile ilişkili diğer fidye yazılımı saldırılarında kullanılmasıdır.
Bu husus, hem Play hem de Bianlian’ın kapalı RAAS modeli altında faaliyet gösterdiği gerçeğinde özel bir öneme sahip olduğunu varsayar; burada operatörler aktif olarak yeni bağlı kuruluşları işe almak istemiyorlar ve ortaklıkları uzun vadeli karşılıklı güvene dayanmaktadır.
ESET, “Güvenilir Play ve Bianlian üyeleri rakiplerle, hatta Ransomhub gibi yeni ortaya çıkanlarla bile işbirliği yapıyorlar ve daha sonra kendi saldırılarında bu rakiplerden aldıkları araçları yeniden düzenliyorlar.” “Bu özellikle ilginçtir, çünkü bu tür kapalı çeteler genellikle müdahaleleri sırasında oldukça tutarlı bir temel araç kullanır.”
Tüm bu fidye yazılımı saldırılarının, tipik olarak oyun saldırıları ile ilişkili olarak ilişkili olan benzerlikler nedeniyle oyunla en yakın olanla ilgili olan Quadswitcher olarak adlandırılan aynı tehdit oyuncusu tarafından gerçekleştirildiğinden şüpheleniliyor.
EdrkillShifter’ın üç farklı fidye ve sahte kilitbit saldırılarının bir parçası olarak CosmicBeetle olarak bilinen başka bir bireysel fidye yazılımı üyesi tarafından da kullanıldığı gözlenmiştir.
Geliştirme, EDR katillerini tehlikeye atılmış sistemlere dağıtmak için BYOVD tekniklerini kullanarak fidye yazılımı saldırılarında bir artışın ortasında geliyor. Geçen yıl, Embargo olarak bilinen fidye yazılımı çetesi, güvenlik yazılımını nötralize etmek için MS4Killer adlı bir program kullanılarak keşfedildi. Bu ay olduğu gibi, Medusa Fidye yazılımı ekibi, Abyssworker adlı özel bir kötü niyetli sürücüye bağlandı.
ESET, “Tehdit aktörlerinin bir EDR katili dağıtmak için yönetici ayrıcalıklarına ihtiyacı var, bu nedenle ideal olarak, varlıkları bu noktaya ulaşmadan önce tespit edilmeli ve azaltılmalıdır.” Dedi.
“Kullanıcılar, özellikle kurumsal ortamlarda, potansiyel olarak güvenli olmayan uygulamaların tespitinin etkin olmasını sağlamalıdır. Bu, savunmasız sürücülerin kurulumunu önleyebilir.”