ESET在调查几个知名勒索软件组织之间的关联时发现,越来越多的勒索软件组织开始将用于禁用端点检测和响应(EDR)解决方案的工具纳入其武器库。
在2024年LockBit和BlackCat勒索软件组织消亡后,新的威胁者崭露头角,其中包括2024年2月出现的RansomHub,这是一个勒索软件即服务(RaaS)组织。
随着勒索软件附属组织从不同团体迁移到RansomHub,例如据称是Change Healthcare黑客事件背后的BlackCat附属组织,RansomHub成为并一直保持着在该领域的主导威胁地位。
2024年5月,RansomHub在其武器库中添加了EDRKillShifter,这是一种针对众多安全解决方案的自定义EDR杀手工具,它依赖密码来保护在执行过程中充当中间层的shellcode。
EDR杀手是在受害者的网络上执行的,旨在使任何在本地终端上运行的安全解决方案失明、损坏或终止。虽然可以使用简单的脚本,但更复杂的工具会部署易受攻击的驱动程序,然后利用这些驱动程序进行恶意活动。
RansomHub通过其RaaS面板向其附属组织提供了EDRKillShifter,但ESET观察到它被用于涉及Play、Medusa和BianLian等其他勒索软件变种的攻击中。
由于BianLian和Play是比较封闭的勒索软件操作,它们能够获得EDRKillShifter的访问权限,这表明它们可能与RansomHub合作,在其攻击中重新利用RaaS的工具。
“我们高度确信所有这些攻击都是由同一个威胁者执行的,该威胁者是这四个勒索软件组织的附属组织,”ESET指出,并将该威胁者称为QuadSwitcher。
ESET还表示,其他勒索软件附属组织也被看到使用EDRKillShifter,并补充说这并不是威胁者用来禁用安全软件的唯一工具。事实上,勒索软件附属组织使用的EDR杀手种类有所增加。
EDR杀手的使用增加被视为对安全解决方案更有效地检测文件加密恶意软件的反应。ESET指出,加密器很少收到重大更新,以避免引入缺陷的风险。
ESET还指出,虽然有超过1700个易受攻击的驱动程序可以供EDR杀手解决方案使用,但只有少数几个被滥用,因为针对它们有经过测试的代码,威胁者无需从头编写新代码。
除了RansomHub,只有另一个RaaS运营商被观察到在其服务中添加了EDR杀手,即Embargo,其泄露网站上仅列出了14名受害者。该工具被称为MS4Killer,基于公开的概念验证(PoC)代码。
消息来源:Security Week;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容