pplware.sapo.pt - 8 jul. 18:30
ESET revela informações inéditas sobre grupo cibercriminoso que distribui ransomware
ESET revela informações inéditas sobre grupo cibercriminoso que distribui ransomware
Tal como qualquer grupo emergente de RaaS, o RansomHub precisou de atrair afiliados – que alugam serviços de ransomware aos operadores
Os investigadores da ESET publicaram uma análise aprofundada sobre as mudanças significativas no ecossistema do ransomware, com foco no recém-emergido e atualmente dominante grupo de ransomware como serviço (RaaS) RansomHub.
RansomHub: o "novo" grupo de RaaSO relatório partilha informações inéditas sobre a estrutura de afiliados do RansomHub e revela ligações claras entre este novo gigante e os grupos bem estabelecidos Play, Medusa e BianLian.
Para além disso, a ESET destaca a ameaça emergente dos killers de Endpoint Detection and Response (EDR), desmascarando o EDRKillShifter, um killer de EDR personalizado desenvolvido e mantido pelo RansomHub. A ESET observou um aumento no número de afiliados de ransomware que utilizam código de killer de EDR derivado de provas de conceito disponíveis publicamente, enquanto o conjunto de controladores que estão a ser abusados permanece praticamente inalterado.
A luta contra o ransomware atingiu dois marcos em 2024: LockBit e BlackCat, anteriormente os dois principais grupos, saíram de cena. E, pela primeira vez desde 2022, os pagamentos de ransomware registados diminuíram significativamente nuns impressionantes 35%. Por outro lado, o número registado de vítimas anunciadas (para serem divulgadas publicamente) em sites dedicados a fugas de informação aumentou cerca de 15%. Uma grande parte desse aumento deve-se ao RansomHub, um novo grupo de RaaS que surgiu na altura da operação policial Cronos, que interrompeu as atividades do LockBit
revela o investigador da ESET Jakub Souček, que investigou o RansomHub.
– e, como a força está nos números, os operadores não foram muito exigentes. O anúncio inicial foi publicado no fórum RAMP, de língua russa, no início de fevereiro de 2024, oito dias antes da publicação das primeiras vítimas.
O RansomHub proíbe o ataque a países da Comunidade dos Estados Independentes, Cuba, Coreia do Norte e China. Curiosamente, atrai os afiliados com a promessa de que receberão todo o pagamento do resgate na sua carteira, e os operadores confiam nos afiliados para partilharem 10% com eles, algo bastante invulgar.
Em maio, os operadores do RansomHub fizeram uma atualização significativa: introduziram o seu próprio killer de EDR – um tipo especial de malware concebido para desabilitar, cegar ou bloquear o produto de segurança instalado no sistema da vítima – normalmente abusando de um controlador vulnerável. O killer de EDR do RansomHub, chamado EDRKillShifter, é uma ferramenta personalizada desenvolvida e mantida pelo grupo. O EDRKillShifter é oferecido aos afiliados do RansomHub. Em termos de funcionalidade, é um típico killer de EDR que visa uma grande variedade de soluções de segurança que os operadores do RansomHub esperam encontrar a proteger as redes que pretendem invadir.
A decisão de implementar um killer e oferecê-lo aos afiliados como parte do programa RaaS é rara. Os afiliados geralmente são responsáveis por encontrar maneiras de contornar os produtos de segurança – alguns reutilizam ferramentas existentes, enquanto os mais tecnicamente orientados modificam provas de conceito ou utilizam killers de EDR disponíveis como um serviço na dark web. Os investigadores da ESET observaram um aumento acentuado no uso do EDRKillShifter, e não exclusivamente nos casos do RansomHub
explica Souček.
Os killers de EDR avançados consistem em duas partes – um componente em modo de utilizador responsável pela orquestração (o código killer) e um controlador legítimo, mas vulnerável. A execução é tipicamente muito simples – o código killer instala o controlador vulnerável, normalmente incorporado nos seus dados ou recursos, itera sobre uma lista de nomes de processos de software de segurança e emite um comando para o controlador vulnerável, resultando na ativação da vulnerabilidade e na eliminação do processo a partir do modo kernel.
A defesa contra os killers de EDR é um desafio. Os agentes de ameaça precisam de privilégios de administrador para implementar um killer de EDR, por isso, idealmente, a sua presença deve ser detetada e mitigada antes de chegarem a esse ponto
acrescentou Souček.
A ESET descobriu que os afiliados do RansomHub estão a trabalhar para três grupos rivais: Play, Medusa e BianLian. A descoberta de uma ligação entre o RansomHub e o Medusa não é surpreendente, uma vez que é do conhecimento geral que os afiliados do ransomware trabalham frequentemente para vários operadores em simultâneo. Por outro lado, uma maneira de explicar o facto do Play e BianLian terem acesso ao EDRKillShifter é que eles contrataram o mesmo afiliado do RansomHub, o que é improvável, dada a natureza fechada de ambos os grupos.
Outra explicação, mais plausível, é que membros de confiança do Play e do BianLian estão a colaborar com rivais, mesmo com rivais recém-criados como o RansomHub, e depois utilizam as ferramentas que recebem desses rivais nos seus próprios ataques. O Play tem sido associado ao grupo Andariel, alinhado com a Coreia do Norte.