ESET Research onderzoekt RansomHub, analyseert EDR-killers

Daarnaast werpt ESET licht op de opkomende dreiging van Endpoint Detection & Response (EDR)-killers en onthult het EDRKillShifter, een op maat gemaakte EDR-killer die door RansomHub is ontwikkeld en onderhouden. Met zo’n EDR-killer kunnen cybercriminelen de beveiligingsproducten op het systeem van een slachtoffer uitschakelen, omzeilen of laten crashen, doorgaans door misbruik te maken van een kwetsbaar stuurprogramma. ESET heeft een toename waargenomen in ransomware-affiliates die EDR-killer-code gebruiken op basis van openbaar beschikbare proof-of-concepts, terwijl de set misbruikte stuurprogramma’s grotendeels ongewijzigd blijft.

“De strijd tegen ransomware bereikte in 2024 twee mijlpalen: LockBit en BlackCat, voorheen de twee grootste ransomwaregroepen, verdwenen van het toneel. Voor het eerst sinds 2022 daalden de geregistreerde ransomwarebetalingen bovendien aanzienlijk met maar liefst 35 procent. Daarentegen steeg het aantal slachtoffers dat werd aangekondigd op specifieke lekwebsites met ongeveer 15 procent. Een groot deel van deze stijging is toe te schrijven aan RansomHub, een nieuwe RaaS-bende die opkwam rond de tijd dat Operation Cronos de activiteiten van LockBit verstoorde,” zegt ESET-onderzoeker Jakub Souček, die RansomHub onderzocht.

RansomHub’s snelle opkomst en unieke aanpak

Net als elke nieuwe RaaS-bende moest RansomHub affiliates aantrekken – cybercriminelen die de ransomware-diensten huren van de operators. Aangezien er kracht schuilt in aantallen, waren de operators niet erg selectief. De eerste advertentie verscheen begin februari 2024 op het Russischtalige RAMP-forum, acht dagen voordat de eerste slachtoffers openbaar werden gemaakt. RansomHub verbiedt aanvallen op Cuba, Noord-Korea en China maar ook op landen uit het Gemenebest van Onafhankelijke Staten (GOS) dat bestaat uit de landen van de voormalige Sovjet-Unie. Opvallend is dat de bende affiliates lokt met de belofte dat zij de volledige losgeldbetaling rechtstreeks op hun eigen wallet ontvangen, waarbij de operators erop vertrouwen dat affiliates 10 procent met hen delen – een ongebruikelijke aanpak binnen de RaaS-wereld.

EDRKillShifter: RansomHub’s maatwerk EDR-killer

In mei introduceerden de operators van RansomHub een belangrijke update: hun eigen EDR-killer genaamd EDRKillShifter. Het is een op maat gemaakt hulpmiddel dat door de bende wordt ontwikkeld en onderhouden. EDRKillShifter wordt aangeboden aan RansomHub- affiliates en is in essentie een typische EDR-killer die een breed scala aan beveiligingsoplossingen aanvalt waarvan de RansomHub-operators verwachten dat ze zich bevinden binnen de netwerken die zij willen binnendringen.

“De beslissing om een EDR-killer te implementeren en aan affiliates aan te bieden als onderdeel van het RaaS-programma is zeldzaam. Normaal gesproken moeten affiliates zelf manieren vinden om beveiligingsproducten te omzeilen. Sommigen hergebruiken bestaande tools, terwijl technisch vaardigere cybercriminelen bestaande proof-of-concepts aanpassen of EDR-killers afnemen op het dark web. ESET-onderzoekers zagen een sterke toename in het gebruik van EDRKillShifter, en niet uitsluitend in RansomHub-aanvallen,” legt Souček uit.

Geavanceerde EDR-killers bestaan doorgaans uit twee delen. Een gebruikersmoduscomponent die de aanvallen coördineert (de killer-code) en een legitiem, maar kwetsbaar stuurprogramma dat wordt misbruikt om beveiligingsprocessen uit te schakelen.

Het aanvalsscenario verloopt meestal eenvoudig: de killer-code installeert het kwetsbare stuurprogramma en doorzoekt de lijst met namen van beveiligingsprocessen. Het geeft vervolgens een opdracht aan het kwetsbare stuurprogramma, om de kwetsbaarheid te misbruiken en de beveiligingssoftware te beëindigen.

“Verdediging tegen EDR-killers is een uitdaging. Bedreigingsactoren hebben beheerdersrechten nodig om een EDR-killer te implementeren, dus idealiter moeten ze worden gedetecteerd en geneutraliseerd voordat ze dat punt bereiken,” voegt Souček toe.

RansomHub-affiliates en de connectie met rivaliserende bendes

ESET ontdekte dat de affiliates van RansomHub tegelijkertijd actief zijn voor drie rivaliserende bendes – Play, Medusa en BianLian. Dat er een link is tussen RansomHub en Medusa is niet verrassend, aangezien het bekend is dat ransomware- affiliates vaak voor meerdere operators tegelijkertijd werken. Echter, het feit dat Play en BianLian toegang hebben tot EDRKillShifter suggereert dat ze mogelijk samenwerken met een gedeelde affiliatie. Gezien de gesloten aard van beide bendes is dit echter onwaarschijnlijk. Een meer plausibele verklaring is dat vertrouwde leden van Play en BianLian samenwerken met rivalen zoals RansomHub en de ontvangen digitale gereedschappen vervolgens hergebruiken in hun eigen aanvallen.

De Play-bende is eerder al in verband gebracht met de Noord-Koreaans georiënteerde Andariel-groep.

Voor een gedetailleerde analyse van RansomHub en EDRKillShifter, lees het nieuwste ESET Research-blogartikel “Shifting the sands of RansomHub’s EDRKillShifter” op WeLiveSecurity.com.