Un nuevo an\u00e1lisis ha descubierto conexiones entre los afiliados de Ransomhub y otros grupos de ransomware como Medusa, Bianlian y Play.<\/p>\n
La conexi\u00f3n se deriva del uso de una herramienta personalizada que est\u00e1 dise\u00f1ada para deshabilitar el software de detecci\u00f3n y respuesta de punto final (EDR) en hosts comprometidos, seg\u00fan ESET. La herramienta de asesinato EDR, denominada EDRKillShifter, se document\u00f3 por primera vez seg\u00fan lo utilizado por los actores de Ransomhub en agosto de 2024.<\/p>\n
Edrkillshifter logra sus objetivos mediante una t\u00e1ctica conocida llamada Trae Your Own Vulnerable Driver (BYOVD) que implica el uso de un conductor leg\u00edtimo pero vulnerable para finalizar las soluciones de seguridad que protegen los puntos finales.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-hackers-reutilizan-los-ataques-de-Ransomhub-en-Medusa-Bianlian.png\")
<\/a><\/center><\/div>\nLa idea con el uso de tales herramientas es garantizar la ejecuci\u00f3n sin problemas del cifrado de ransomware sin que la seguridad se marcara.<\/p>\n
“Durante una intrusi\u00f3n, el objetivo del afiliado es obtener privilegios de administraci\u00f3n de administrador o dominio”, los investigadores de ESET Jakub Sou\u010dek y Jan Holman dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n “Los operadores de ransomware tienden a no hacer actualizaciones importantes de sus encriptadores con demasiada frecuencia debido al riesgo de introducir un defecto que pueda causar problemas, en \u00faltima instancia, da\u00f1ar su reputaci\u00f3n. Como resultado, los proveedores de seguridad detectan bastante bien a los cifrados, a los que los afiliados reaccionaron mediante el uso de asesinos EDR para ‘deshacerse de la soluci\u00f3n de seguridad solo antes de ejecutar el encriptador”.<\/p>\n Lo que es notable aqu\u00ed es que una herramienta a medida desarrollada por los operadores de Ransomhub y ofrecido a sus afiliados, algo as\u00ed como un fen\u00f3meno raro en s\u00ed mismo, se est\u00e1 utilizando en otros ataques de ransomware asociados con Medusa, Bianlian y el juego.<\/p>\n Este aspecto asume un significado especial a la luz del hecho de que tanto el juego como el bianlian operan bajo el modelo RAAS cerrado, en el que los operadores no buscan activamente contratar nuevas afiliadas y sus asociaciones se basan en la confianza mutua a largo plazo.<\/p>\n “Los miembros de confianza de Play y Bianlian est\u00e1n colaborando con sus rivales, incluso los reci\u00e9n emergidos como Ransomhub, y luego reutilizando las herramientas que reciben de esos rivales en sus propios ataques”, teoriz\u00f3 Eset. “Esto es especialmente interesante, ya que tales pandillas cerradas generalmente emplean un conjunto bastante consistente de herramientas centrales durante sus intrusiones”.<\/p>\n Se sospecha que todos estos ataques de ransomware han sido llevados a cabo por el mismo actor de amenaza, denominado Quadswitcher, que probablemente est\u00e1 relacionado con el juego m\u00e1s cercano a las similitudes en Tradecraft t\u00edpicamente asociadas con las intrusiones del juego.<\/p>\n Tambi\u00e9n se ha observado que Edrkillshifter es utilizado por otro afiliado individual de ransomware conocido como CosmicBeetle como parte de tres ataques diferentes de Ransomhub y Lockbit falsos.<\/p>\n<\/a><\/div>\n