黑客在 Medusa、BianLian 和 Play 攻击中复用 EDRKillShifter 工具

最新的分析表明，RansomHub的关联组织与其他勒索软件团伙Medusa、BianLian和Play之间存在关联。

根据ESET的报告，这种联系源自一个名为EDRKillShifter的自定义工具。该工具专门用于在受感染设备上禁用终端检测和响应（EDR）软件。RansomHub的攻击者首次被发现使用EDRKillShifter是在2024年8月。

EDRKillShifter通过一种名为“带上你自己的漏洞驱动程序”（BYOVD）的已知策略实现其目标。该策略利用合法但存在漏洞的驱动程序来终止保护终端的安全解决方案。

攻击者使用此类工具的目的在于确保勒索软件加密程序能够顺利执行，而不会被安全软件检测和阻止。

“在一次入侵过程中，攻击者的目标是获得管理员或域管理员权限。”ESET研究人员Jakub Souček和Jan Holman在与《The Hacker News》分享的报告中表示。

他们进一步指出：“勒索软件运营商通常不会频繁更新加密器，因为代码更新容易引发缺陷，可能损害他们的声誉。因此，安全厂商对这些加密器的检测能力相对较强。为了应对这一点，攻击者会在执行加密程序前使用EDR杀软工具移除安全防护。”

值得注意的是，EDRKillShifter原本是RansomHub专为其附属成员开发的定制工具。像这样专门提供给附属组织的工具本身并不常见，而现在该工具也被用于Medusa、BianLian和Play等其他勒索软件攻击中。

尤其值得关注的是，Play和BianLian采用的是**封闭式勒索软件即服务（RaaS）**模式。在这种模式下，运营者不会主动招募新成员，而是基于长期的信任关系与少量合作者合作。

“Play和BianLian的可信成员正在与竞争对手合作，甚至与像RansomHub这样的新兴团伙合作，并将从他们那里获得的工具重新用于自身的攻击中。”ESET推测，“这尤其值得注意，因为这些封闭式团伙通常在攻击中使用一套固定的核心工具。”

研究人员怀疑，这些勒索软件攻击可能由同一威胁行为者发起。该行为者被称为QuadSwitcher，由于其战术与Play的典型入侵手法极为相似，因此被认为与Play关系最为密切。

此外，EDRKillShifter还被观察到由另一个勒索软件关联组织CosmicBeetle使用。CosmicBeetle利用该工具在三起涉及RansomHub和假冒LockBit的攻击中禁用了安全软件。

这一发现正值勒索软件团伙广泛使用BYOVD技术，通过部署EDR杀软工具来攻击受感染系统的趋势上升之际。

去年，勒索软件团伙Embargo被发现使用名为MS4Killer的程序来中和安全软件。而在本月，Medusa勒索软件组织被指使用了一种名为ABYSSWORKER的自定义恶意驱动程序。

ESET强调：“攻击者需要管理员权限才能部署EDR杀软工具，因此应在他们获得权限前及时检测和阻止其活动。”

为此，ESET建议企业用户确保开启潜在不安全应用的检测功能，从而有效阻止带有漏洞的驱动程序安装。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；