Un reciente análisis ha revelado conexiones entre los afiliados de RansomHub y otros grupos de ransomware conocidos, como Medusa, BianLian y Play. Esta vinculación se basa en el uso de una herramienta personalizada diseñada para deshabilitar el software de detección y respuesta de endpoints (EDR) en sistemas comprometidos, según un informe de ESET.
La herramienta EDRKillShifter y su impacto en ataques de ransomware
La herramienta, denominada EDRKillShifter, fue documentada por primera vez en agosto de 2024 como utilizada por los actores de RansomHub. Su principal función es facilitar la ejecución de ransomware sin ser detectado por las soluciones de seguridad, utilizando una táctica llamada Bring Your Own Vulnerable Driver (BYOVD). Esta técnica implica la explotación de un controlador legítimo pero vulnerable para neutralizar las soluciones de seguridad que protegen los endpoints.
Según ESET, esta herramienta es fundamental en los ataques de RansomHub porque permite el despliegue del ransomware sin interrupciones, asegurando que el encriptador se ejecute correctamente y sin ser detectado por las soluciones EDR.
Estrategias de los afiliados y su relación con otros grupos
Los afiliados de RansomHub buscan privilegios de administrador o de dominio en los sistemas atacados. Como explicaron los investigadores de ESET, Jakub Souček y Jan Holman:
«Los operadores de ransomware tienden a no realizar actualizaciones frecuentes de sus encriptadores debido al riesgo de introducir fallas que podrían comprometer su funcionamiento y reputación. Como resultado, los proveedores de seguridad detectan con facilidad estos encriptadores, lo que ha llevado a los afiliados a utilizar herramientas como EDRKillShifter para deshacerse de las soluciones de seguridad justo antes de ejecutar el encriptador».
Lo más relevante de este hallazgo es que la herramienta desarrollada por RansomHub y proporcionada a sus afiliados también está siendo utilizada en ataques asociados con Medusa, BianLian y Play. Esto sugiere un nivel de colaboración y compartición de herramientas entre estos grupos de ransomware.
RansomHub y su conexión con el modelo RaaS cerrado
El vínculo entre RansomHub, Medusa, BianLian y Play es particularmente interesante debido a la naturaleza del modelo de Ransomware-as-a-Service (RaaS) cerrado que emplean Play y BianLian. A diferencia de otros modelos RaaS abiertos, en los cuales los operadores reclutan constantemente nuevos afiliados, en un modelo cerrado las asociaciones se basan en confianza mutua a largo plazo.
ESET teoriza que miembros de confianza de Play y BianLian están colaborando con rivales como RansomHub y reutilizando herramientas obtenidas en estos ataques para sus propias campañas maliciosas. Esto marca una desviación del comportamiento habitual de estos grupos, que tienden a operar con conjuntos de herramientas más consistentes y exclusivos.
El actor de amenazas QuadSwitcher y su papel en los ataques
Se sospecha que los ataques de ransomware analizados han sido llevados a cabo por un mismo actor de amenazas, identificado como QuadSwitcher. Este actor parece tener vínculos más estrechos con Play, dada la similitud de sus tácticas con las utilizadas en las intrusiones de dicho grupo.
Además, se ha identificado que EDRKillShifter también ha sido utilizado por otro afiliado de ransomware, conocido como CosmicBeetle, en al menos tres ataques diferentes que involucraban RansomHub y versiones falsas de LockBit.
Tendencias crecientes en ataques con técnicas BYOVD
Este desarrollo se produce en un contexto de aumento de ataques de ransomware que emplean técnicas BYOVD para desplegar asesinos EDR en sistemas comprometidos. Ejemplos recientes incluyen:
- Embargo ransomware utilizó en 2023 un programa llamado MS4Killer para neutralizar software de seguridad.
- Medusa ransomware ha sido vinculado recientemente a un controlador malicioso personalizado con el nombre en código ABYSSWORKER.
Según ESET, estos ataques demuestran que los grupos de ransomware siguen evolucionando sus tácticas para eludir las soluciones de seguridad tradicionales y maximizar el éxito de sus campañas maliciosas.
Recomendaciones de seguridad para prevenir ataques de ransomware
Los expertos de ESET advierten que los actores de amenazas necesitan privilegios de administrador para desplegar un asesino EDR. Por ello, es fundamental que las organizaciones implementen medidas de seguridad proactivas:
- Monitorear el acceso a cuentas privilegiadas para evitar la escalación de privilegios.
- Habilitar la detección de aplicaciones potencialmente inseguras, lo que puede prevenir la instalación de controladores vulnerables.
- Actualizar y reforzar las soluciones de seguridad para detectar y bloquear herramientas como EDRKillShifter.
- Educar a los empleados sobre riesgos de phishing y tácticas de ingeniería social, que suelen ser el punto de entrada de estos ataques.
- Implementar una estrategia de segmentación de red para minimizar el impacto en caso de una intrusión.
En conclusión, el análisis de ESET revela que RansomHub no solo opera con sus propias herramientas, sino que también está vinculado a otros grupos de ransomware importantes como Medusa, BianLian y Play. La reutilización de herramientas entre grupos y el modelo RaaS cerrado indican que el ecosistema de ransomware sigue evolucionando, con grupos colaborando para mejorar sus tácticas y maximizar sus ataques.
Para mitigar estos riesgos, las organizaciones deben fortalecer sus estrategias de detección y respuesta ante amenazas avanzadas, asegurando que sus sistemas estén protegidos contra estas técnicas emergentes de evasión de seguridad.
Fuente: The Hacker News
