-
ESET a identifié des connexions entre les groupes RansomHub, Play, Medusa et BianLian en traçant les outils fournis par RansomHub à ses affiliés.
-
D’autre part, cette étude met en lumière la croissance d’outils conçus pour neutraliser les EDR.
La-Femme (ESET) – ESET a analysé l’écosystème actuel des ransomwares, avec un focus particulier sur RansomHub et son modèle de vente de service de rançongiciel (ransomware as service). Ce nouveau gang de ransomware-as-a-service prend la tête des fournisseurs de logiciels malveillants chiffrant et de leurs services associés. Ce rapport révèle des liens entre RansomHub et les gangs Play, Medusa et BianLian, tout en mettant en évidence EDRKillShifter, un outil développé par RansomHub pour contourner les systèmes de détection et réponse des endpoints (EDR).
« En 2024, deux événements majeurs ont marqué la lutte contre les ransomwares : le retrait des gangs LockBit et BlackCat, et une baisse de 35% des paiements de rançons. Cependant, le nombre de victimes annoncées publiquement a augmenté de 15%, principalement en raison de RansomHub, qui a émergé à la suite de l’opération Cronos contre LockBit. », explique Jakub Souček, chercheur chez ESET, qui a enquêté sur RansomHub.
Pour recruter ses affiliés, le groupe a utilisé le forum RAMP, dès février 2024. Les premières victimes ont rapidement suivi. Si les règles sont simples, dans ses conditions d’exploitation, le gang interdit pourtant d’attaquer les pays de la Communauté des États indépendants (CEI), ainsi que Cuba, la Corée du Nord et la Chine. Quant à la rémunération des affiliés, le modèle économique leur permet de recevoir directement les rançons, ceux-ci doivent ensuite reverser 10% de la somme à RansomHub.
Pour augmenter les chances de succès de ses affiliés, le gang met à disposition un EDR Killer : EDRKillShifter, un outil conçu pour neutraliser les solutions de sécurité des victimes (EDR) en exploitant des pilotes vulnérables.
« Contrairement aux pratiques habituelles où les affiliés doivent trouver leurs propres moyens d’échapper aux outils de détection, RansomHub fournit directement cet outil à ses partenaires. Les chercheurs d’ESET ont constaté une augmentation significative de l’utilisation d’EDRKillShifter, même en dehors des attaques de RansomHub. » explique M. Souček. « Les outils avancés conçus pour neutraliser les EDR combinent un composant en mode utilisateur avec un pilote légitime mais vulnérable. Le processus d’exécution implique l’installation du pilote vulnérable et l’exploitation de sa faille pour tuer les processus de sécurité. » ajoute M. Souček.
ESET a découvert que des affiliés de RansomHub travaillent simultanément pour Play, Medusa et BianLian. Si la connexion avec Medusa n’est pas surprenante, l’accès des groupes Play et BianLian à EDRKillShifter suggère, soit le partage improbable d’un même affilié par ces gangs, soit plus vraisemblablement, d’une collaboration entre membres de ces organisations. Notons que RansomHub et Play ont notamment été associés au groupe nord-coréen Andariel.
Pour découvrir l’analyse technique de RansomHub et EDRKillShifter, consultez l’article de blog d’ESET Research « Shifting the sands of RansomHub’s EDRKillShifter » sur WeLiveSecurity.com.
