27 mars 2025Ravie LakshmananSécurité des terminaux / ransomwares

Une nouvelle analyse a révélé des liens entre les affiliés de RansomHub et d’autres groupes de ransomwares comme Medusa, Bianlian et Play.

La connexion découle de l’utilisation d’un outil personnalisé conçu pour désactiver la détection et la réponse des points de terminaison (EDR) sur des hôtes compromis, selon ESET. L’outil de mise à mort EDR, surnommé Edrkillshifter, a été documenté pour la première fois utilisé par les acteurs de RansomHub en août 2024.

Edrkillshifter atteint ses objectifs au moyen d’une tactique connue appelée Bring Your Own Vulnerable Driver (BYOVD) qui implique d’utiliser un conducteur légitime mais vulnérable pour mettre fin aux solutions de sécurité protégeant les paramètres.

Cybersécurité

L’idée avec l’utilisation de ces outils est d’assurer l’exécution fluide du cryptor ransomware sans qu’il soit signalé par des solutions de sécurité.

“Au cours d’une intrusion, l’objectif de l’affilié est d’obtenir des privilèges administratifs administratifs”, les chercheurs de l’ESet Jakub Souček et Jan Holman dit Dans un rapport partagé avec le Hacker News.

“Les opérateurs de ransomwares ont tendance à ne pas faire de mises à jour majeures de leurs encrypteurs trop souvent en raison du risque d’introduire un défaut qui pourrait causer des problèmes, endommageant finalement leur réputation.

Edrkillshifter de RansomHub

Ce qui est notable ici, c’est qu’un outil sur mesure développé par les opérateurs de RansomHub et offert à ses affiliés – quelque chose d’un phénomène rare en soi – est utilisé dans d’autres attaques de ransomware associées à la Méduse, au Bianlian et au jeu.

Cet aspect prend une importance particulière à la lumière du fait que le jeu et le bianlian opèrent sous le modèle RAAS fermé, dans lequel les opérateurs ne cherchent pas activement à embaucher de nouveaux affiliés et que leurs partenariats sont basés sur une confiance mutuelle à long terme.

“Les membres de confiance de Play et de Bianlian collaborent avec des concurrents, même des nouveaux émergés comme RansomHub, puis réorientent l’outillage qu’ils reçoivent de ces rivaux dans leurs propres attaques”, a théorisé Eset. “Cela est particulièrement intéressant, car ces gangs fermés utilisent généralement un ensemble d’outils de base assez cohérents pendant leurs intrusions.”

On soupçonne que toutes ces attaques de ransomwares ont été menées par le même acteur de menace, surnommé Quadswitcher, qui est probablement lié au jeu le plus proche en raison des similitudes de Tradecraft généralement associées aux intrusions de jeu.

Edrkillshifter a également été observé utilisé par un autre affilié de ransomware individuel connu sous le nom de CosmicBeetle dans le cadre de trois différentes attaques RansomHub et Fake Lockbit.

Cybersécurité

Le développement intervient au milieu d’une augmentation des attaques de ransomwares en utilisant Techniques BYOVD pour déployer EDR Killers sur des systèmes compromis. L’année dernière, le gang de ransomware connu sous le nom d’Embargo a été découvert à l’aide d’un programme appelé MS4Killer pour neutraliser les logiciels de sécurité. Pas plus tard que ce mois-ci, l’équipe de ransomware de Medusa a été liée à un conducteur malveillant personnalisé nommé Abyssworker.

“Les acteurs de la menace ont besoin de privilèges administratifs pour déployer un tueur d’Edr, donc idéalement, leur présence doit être détectée et atténuée avant d’atteindre ce point”, a déclaré Eset.

“Les utilisateurs, en particulier dans les environnements d’entreprise, devraient garantir que la détection d’applications potentiellement dangereuses est activée. Cela peut empêcher l’installation de conducteurs vulnérables.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57