​Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a nemrégiben feltűnt és jelenleg domináns RansomHub csoportra. A jelentés eddig nem ismert részleteket tár fel a RansomHub partneri struktúrájáról, és világos összefüggéseket mutat ki a RansomHub, valamint a már jól ismert Play, Medusa és BianLian csoportok között. Az ESET felhívja a figyelmet a végponti észlelés és reagálás (EDR) rendszerek kiiktatására használt, egyre nagyobb fenyegetést jelentő EDR killerek veszélyeire, különös tekintettel az EDRKillShifterre, amelyet a RansomHub fejlesztett és működtet. Az ESET kutatásai szerint egyre több zsarolóvírus-banda használ az EDR-ek kiiktatására használható eszközöket, amelyek gyakran nyilvánosan elérhető proof-of-concept (PoC) támadásokon alapulnak, míg az általuk kihasznált illesztőprogramok köre nagyrészt változatlan maradt.
 
"A zsarolóvírusok elleni küzdelem 2024-ben két mérföldkövet ért el: a korábban vezetőnek számító két csoport, a LockBit és a BlackCat kiszorultak a képből. Ráadásul 2022 óta először fordult elő, hogy a zsarolóvírusok által ellopott összeg 35%-kal csökkent. Ugyanakkor az áldozatok száma, a kifejezetten erre a célra létrehozott oldalakon látható esetek alapján, körülbelül 15 százalékkal nőtt. Ennek egyik fő oka a zsarolóvírus-szolgáltatást működtető (RaaS) RansomHub csoport megjelenése, amely a LockBit elleni rendőrségi művelet, az Operation Cronos idején bukkant fel" - mondta a RansomHub működését vizsgáló Jakub Souček, az ESET kutatója.
 
A RansomHub, mint minden feltörekvő RaaS csoport, arra törekedett, hogy partnereket vonzzon, akik zsarolóvírus-szolgáltatást bérelnek tőlük. Mivel a jelentős partneri létszám előnyt jelent, a banda nem válogatott szigorúan. Az első hirdetésük 2024 februárjában jelent meg az orosz nyelvű RAMP fórumon, nyolc nappal az első áldozatok feltűnése előtt. A RansomHub tiltja a támadásokat a posztszovjet Független Államok Közössége (FÁK), Kuba, Észak-Korea és Kína ellen. Különösen érdekes, hogy a partnerek teljes egészében megkapják a zsarolásból befolyt összeget, és az üzemeltetők csupán önkéntes alapon kérnek 10%-os részesedést, ami szokatlan üzleti modellnek számít.
 
2024 májusában a RansomHub üzemeltetői jelentős frissítést hajtottak végre: bevezették saját EDR killerüket, egy speciális kártevőt, amelyet arra terveztek, hogy leállítsa vagy működésképtelenné tegye az áldozat rendszerén futó biztonsági szoftvereket – általában egy sérülékeny illesztőprogramon keresztül.
 
Az EDRKillShifter egyedi fejlesztésű eszköz, amelyet a RansomHub működtet. A partnereik számára kínált szoftver számos különböző, a célba vett hálózatokon futó biztonsági megoldást támad.
 
"Ritka, hogy egy banda saját EDR killer-t fejleszt és azt a partnerei rendelkezésére bocsátja. A partnerek általában maguk oldják meg a biztonsági rendszerek kijátszását – egyesek meglévő eszközöket használnak, míg a technikailag képzettebbek módosítják az elérhető rendszereket vagy az online feketepiacon vásárolnak ilyen eszközöket. Az ESET kutatói egyértelmű növekedést figyeltek meg az EDRKillShifter használatában, és nem kizárólag a RansomHubhoz köthető támadások során" - fogalmazott Souček.
 
A fejlett megoldások két részből állnak: egy felhasználói módú komponensből, amely a vezérlésért felelős (a tényleges kártevő kód), valamint egy legitim, de sebezhető illesztőprogramból. A támadás jellemzően úgy zajlik, hogy a kártevő kód telepíti a sérülékeny illesztőprogramot, jellemzően adataiba vagy erőforrásaiba ágyazódva, amely egy előre meghatározott biztonsági programok folyamatlistáján végighaladva a kód által kiadott parancs alapján leállítja az adott biztonsági szoftvereket a kernel szintjén. "Ezen programok elleni védekezés kihívást jelent. A támadóknak rendszergazdai jogosultságokra van szükségük az ilyen eszközök telepítéséhez, ezért a legjobb védekezés az, ha a fenyegetést már azelőtt észleljük és semlegesítjük, mielőtt elérnék ezt a jogosultsági szintet." - teszi hozzá Souček.
 
Az ESET felfedezte, hogy a RansomHub három rivális bandával is együttműködik, ezek a Play, a Medusa és a BianLian. A Medusával való kapcsolat nem meglepő, mivel köztudott, hogy a zsarolóvírus-partnerek gyakran több csoportnak is dolgoznak egyszerre. Az viszont érdekesebb, hogy a Play és a BianLian is hozzáférést kapott az EDRKillShifter-hez. Magyarázat lehet, hogy ugyanazt a RansomHub-partnert bérelték fel, bár ez kevéssé valószínű, mivel mindkettő zárt körű csoport. Egy másik, valószínűbb lehetőség, hogy a Play és a BianLian bizalmi tagjai együttműködnek a riválisokkal, köztük az olyan újonnan alakult csoportokkal, mint a RansomHub, és a kapott eszközöket saját támadásaik során is felhasználják. A Play bandát korábban összefüggésbe hozták az észak-koreai Andariel csoporttal.