EDRKillShifter: Lo Strumento che Unisce le Cyber Gang Ransomware più Temute!

Di EDRKillShifter ne avevamo abbondantemente parlato in passato sulle nostre pagine con diversi articoli sul tema Bring Your Own Vulnerable Driver (BYOVD).

Ricerche recenti condotte da ESET, hanno rivelato stretti legami tra vari gruppi ransomware: RansomHub, Medusa, BianLian e Play. Il collegamento tra loro era uno strumento specializzato per disattivare i sistemi di protezione: EDRKillShifter, sviluppato originariamente dai partecipanti a RansomHub. Ora viene utilizzato anche in attacchi da parte di altri gruppi, nonostante la natura chiusa dei loro modelli di distribuzione.

EDRKillShifter utilizza una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). La sua essenza sta nel fatto che gli aggressori installano un driver legittimo ma vulnerabile sui dispositivi infetti, attraverso il quale vengono disattivati ​​i mezzi di rilevamento e risposta alle minacce.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ciò consente di eseguire il programma di crittografia senza il rischio di essere individuati dalle soluzioni antivirus e altre soluzioni di sicurezza.

Come hanno notato i ricercatori, gli autori di ransomware aggiornano raramente i loro programmi di crittografia per evitare bug che potrebbero danneggiare la loro reputazione. Pertanto, il software di sicurezza ha il tempo di imparare a rilevarli in modo efficace. In risposta a ciò, gli aggressori affiliati utilizzano sempre più spesso strumenti di disabilitazione della sicurezza per preparare il sistema al ransomware.

Di particolare interesse è il fatto che EDRKillShifter è stato creato appositamente per gli affiliati di RansomHub e ora viene utilizzato in attacchi per conto di Medusa, BianLian e Play. Inoltre, gli ultimi di due gruppi tradizionalmente non accettano nuovi membri e si affidano solo ad affiliati collaudati. Ciò indica una potenziale cooperazione tra membri di diversi gruppi criminali.

ESET suggerisce che alcuni membri dei gruppi RaaS chiusi, nonostante il loro isolamento interno, condividano gli strumenti con i concorrenti, compresi i nuovi arrivati. Questo comportamento è particolarmente atipico per coloro che solitamente si attengono a un set di strumenti di hacking collaudati.

I ricercatori ritengono che diversi attacchi recenti possano essere stati condotti dallo stesso attore, nome in codice QuadSwitcher. Secondo una serie di segnali, le sue azioni sono vicine ai metodi caratteristici del gruppo Play, il che potrebbe indicare una connessione diretta.

Inoltre, EDRKillShifter è stato utilizzato anche in attacchi per conto di un altro affiliato, CosmicBeetle, che lo ha utilizzato in almeno tre casi mentre agiva per conto di RansomHub e LockBit.

L’uso di queste tecniche BYOVD, soprattutto in ambienti aziendali, sta diventando sempre più comune. Nel 2024, il gruppo Embargo ho usato il programma MS4Killer per disattivare le soluzioni di sicurezza e più recentemente è stata individuata Medusa con il suo driver ABYSSWORKER , che svolgono funzioni simili.

Per impedire che tali strumenti vengano attivati, è necessario bloccare le azioni degli intrusi prima che ottengano i diritti di amministratore. Nei sistemi aziendali vale la pena attivare il riconoscimento delle applicazioni potenzialmente pericolose e monitorare l’installazione dei driver, soprattutto quelli con vulnerabilità note.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.