ESET araştırmacılarının yeni ortaya çıkan fidye yazılımı (RAAS) grubu Ransomhub ile Play, Medusa ve Bianlian dahil olmak üzere fidye yazılımı çeteleri arasında bağlantıları var.
Ortaya çıkan tehdit oyuncusu birden fazla fidye yazılımı işlemini birbirine bağlar
Soruşturma, Mayıs 2024’teki tanıtımından bu yana fidye yazılımı bağlı kuruluşları arasında popülerlik kazanan RansomHub’ın özel EDR katil aracı Edrkillshifter’a odaklandı.
Araştırma ekibi, EdrkillShifter’ı birden fazla fidye yazılımı operasyonunda konuşlandıran Quadswitcher olarak adlandırılan bir tehdit oyuncusu tanımladı.
Bu aktör iki spesifik EdrkillShifter örneği kullanmıştır (SHA-1 karma BF84712C5314DF2AA851B8D4356EA51A9AD50257 ve 77DAF77D9D2A08cc22981c004689b870f74544b5), RANSTRAND, RANSTRAND, RANSTRAND, RANSTRANS, RANSTABUT, ATTRACT, atfedilen RANS, atfedilen RANS, Temmuz ve Ağustos 2024 arasında Medusa ve Bianlian.
EDR Killers: Fidye Yazılımı Saldırılarında Yükselen Bir Eğilim
EdrkillShifter, fidye yazılımı ekosisteminde büyüyen bir eğilimi temsil eder. Son nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak veya kaçınmak için tasarlanmış özel araçların kullanımını kullanır.
Bu EDR katilleri genellikle düzenleme için bir kullanıcı modu bileşeninden ve çekirdek modundan kötü niyetli eylemler yürütmek için meşru ama savunmasız bir sürücüden oluşur.
Araştırmacılar, bilinen 1.700’den fazla savunmasız sürücü olmasına rağmen, sadece bir avuç EDR Killers tarafından yaygın olarak istismar edildiğini belirtti.
Bu, tehdit aktörlerinin sıfırdan yeni teknikler geliştirmek yerine test edilmiş sömürü kodunu yeniden kullanmayı tercih ettiklerini göstermektedir.
Paylaşılan takımlar aracılığıyla RansomHub ve yerleşik fidye yazılımı çeteleri arasındaki bağlantıların keşfi, fidye yazılımı ekosisteminin karmaşık ve birbirine bağlı doğasını vurgular.
Kapalı RAAS modelleri altında faaliyet gösteren iyi kurulmuş çetelerin bile RansomHub gibi yeni katılımcılarla işbirliği yapabileceğini gösteriyor.
Bu araştırma aynı zamanda EdrkillShifter gibi belirli araçların kullanımının izlenmesinin, görünüşte farklı fidye yazılımı işlemleri arasındaki bağlantıların belirlenmesine nasıl yardımcı olabileceğini de göstermektedir.
Bu tür içgörüler, fidye yazılımı ağlarını bozmaya yönelik kolluk çabaları için değerli olabilir.
Fidye yazılımı grupları taktiklerini geliştirmeye devam ettikçe, EDR katillerinin RAAS tekliflerine dahil edilmesi daha yaygın hale gelebilir.
Bu eğilim, savunucular için ek zorluklar oluşturmaktadır ve geleneksel uç nokta koruma önlemlerinin ötesine geçen kapsamlı güvenlik stratejilerinin önemini vurgulamaktadır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.