網絡犯罪組織大多都各自發展甚至有着互相競爭的情況,不過一項最新分析就表示 RansomHub 關聯組織與其他勒索軟件集團(包括 Medusa、BianLian 和 Play)之間原來存在密切聯繫。根據安全公司 ESET 的研究,這些組織正在共用名為 EDRKillShifter 的自訂工具,該工具設計用於在被入侵的主機上禁用端點檢測和響應 (EDR) 軟件。
共享 EDR 攻擊工具揭示幕後關係
EDRKillShifter 工具最早於 2024 年 8 月被記錄為 RansomHub 行動者使用。這個工具通過一種被稱為「自帶易受攻擊驅動程式」(BYOVD)的戰術實現其目標,這種戰術涉及使用合法但有漏洞的驅動程式來終止保護端點的安全解決方案。使用此類工具的目的是確保勒索軟件加密器能夠順利執行,而不會被安全解決方案發現。
ESET 研究人員 Jakub Souček 和 Jan Holman 表示:「在入侵過程中,關聯組織的目標是獲得管理員或域管理員權限。勒索軟件營運商傾向於不經常對其加密工具進行重大更新,因為引入可能導致問題的缺陷會損害其聲譽。因此,安全供應商能夠較好地檢測這些加密器,而關聯組織則通過使用 EDR 殺手來應對,在執行加密器之前『擺脫』安全解決方案。」
已研究發現,RansomHub 開發並提供給其關聯組織的,正被用於與 Medusa、BianLian 和 Play 相關的其他勒索軟件攻擊。由於 Play 和 BianLian 都是在封閉的 RaaS(勒索即服務)模式下營運,這個情況就變得令人意外。因為一般而言,營運商不會積極尋求招募新的關聯組織,而是基於長期互信建立合作關係。
ESET 推測:「Play 和 BianLian 的受信任成員正在與競爭對手合作,甚至是像 RansomHub 這樣新出現的競爭對手,然後在自己的攻擊中重新利用從這些競爭對手那裡獲得的工具。這尤其有趣,因為這類封閉型團伙通常在入侵過程中使用一套相當一致的核心工具。」
單一威脅行動者或擁有多重身份
另外有跡象表明,所有這些勒索軟件攻擊都是由同一威脅行動者進行的,被稱為 QuadSwitcher,由於其作案手法與 Play 入侵通常相關的特徵相似,該行動者很可能與 Play 關係最為密切。EDRKillShifter 也被觀察到由另一個名為 CosmicBeetle 的個體勒索軟件關聯組織使用,作為三次不同 RansomHub 和假冒 LockBit 攻擊的一部分。
勒索軟件攻擊手段一直演變
近年使用 BYOVD 技術在受感染系統上部署 EDR 殺手的勒索軟件攻擊有激增趨勢。去年,名為 Embargo 的勒索軟件團伙被發現使用一個名為 MS4Killer 的程序來中和安全軟件。就在本月,Medusa 勒索軟件團隊被認為與一個代號為 ABYSSWORKER 的全新定制惡意驅動程式有關,這些都顯示在防範措施日漸加強的同時,攻擊手段也一直在進化。
ESET 表示:「威脅行動者需要管理員權限來部署 EDR 殺手,因此理想情況下,應該在他們達到目的之前檢測並消除他們的存在。用戶,特別是在企業環境中,應確保啟用潛在不安全應用程序的檢測。這可以防止安裝易受攻擊的驅動程式。」