ESET Research ontdekt een nieuwe ransomwaregroep

BeveiligingNieuws

23 oktober 2024, 11:20 uur Door -Redactioneel-

ESET-onderzoekers hebben nieuwe tools ontdekt die leiden tot de implementatie van de Embargo-ransomware. Embargo is een relatief nieuwe groep in de ransomwarewereld en werd voor het eerst ontdekt door ESET in juni 2024.

De nieuwe toolkit bestaat uit een Endpoint Detection and Response (EDR)-lader en -verwijderaar, die ESET respectievelijk MDeployer en MS4Killer heeft genoemd. Volgens onderzoekers is MS4Killer vooral opmerkelijk omdat het zich aanpast aan de omgeving van elk slachtoffer en zich alleen richt op geselecteerde beveiligingsoplossingen. De malware maakt gebruik van de “Veilige modus” en een kwetsbaar stuurprogramma om beveiligingsproducten op de eindpunten van het slachtoffer uit te schakelen. Beide tools zijn geschreven in ‘Rust’, de voorkeurstaal van de Embargo-groep om hun ransomware te ontwikkelen.

“Zoals het werkt lijkt Embargo een groep te zijn die over veel middelen beschikt. De groep zet zijn eigen infrastructuur op om met slachtoffers te communiceren. Bovendien zet de groep slachtoffers onder druk om te betalen door middel van dubbele afpersing: exploitanten extraheren gevoelige gegevens van slachtoffers en dreigen deze te publiceren op een website waar deze zullen lekken, naast het versleutelen ervan. In een interview met een vermeend lid van de groep noemde een vertegenwoordiger van Embargo een basisbetalingsschema voor partners, wat suggereert dat de groep RaaS (ransomware als een service) aanbiedt. Gezien de verfijning van de groep, het bestaan ​​van een typische leklocatie en de beweringen van de groep, gaan we ervan uit dat Embargo echt opereert als een RaaS-provider”, zegt ESET-onderzoeker Jan Holman, die de dreiging samen met zijn collega Tomáš Zvara analyseerde.

Veilige modus

Verschillen in geïmplementeerde versies, bugs en verlaten objecten suggereren dat deze tools in actieve ontwikkeling zijn. Embargo bouwt nog steeds aan zijn merk en profileert zich als een prominente ransomware-operator. Het ontwikkelen van aangepaste laders en EDR-verwijderingstools is een veelgebruikte tactiek van verschillende ransomwaregroepen. Naast het feit dat MDeployer en MS4Killer altijd samen zijn geïmplementeerd, zijn er nog meer verbindingen tussen beide. De sterke banden tussen de instrumenten suggereren dat beide zijn ontwikkeld door dezelfde dreigingsactor, en de actieve ontwikkeling van de instrumentenset suggereert dat de dreigingsactor over ‘rust’-vaardigheden beschikt.

Met MDeployer maakt de Embargo-bedreigingsacteur misbruik van de “Veilige modus” om beveiligingsoplossingen uit te schakelen. MS4Killer is een typische verdedigingsontwijkingstool die beveiligingsproductprocessen beëindigt met behulp van de techniek die bekend staat als Bring Your Own Vulnerable Driver (BYOVD). Bij deze techniek exploiteert de bedreigingsacteur kwetsbare, ondertekende stuurprogramma’s om code op kernelniveau uit te voeren. Ransomwarepartners nemen vaak BYOVD-tools op in hun keten van compromissen om beveiligingsoplossingen te verstoren die de aangevallen infrastructuur beschermen. Na het uitschakelen van de beveiligingssoftware kunnen partners de ransomware-payload uitvoeren zonder zich zorgen te hoeven maken of deze zal worden gedetecteerd.

Verschillende stadia

Het primaire doel van de Embargo-toolkit is het garanderen van een succesvolle implementatie van de ransomware-payload door de beveiligingsoplossing op de infrastructuur van het slachtoffer uit te schakelen. Embargo steekt hier veel moeite in en herhaalt dezelfde functionaliteit in verschillende stadia van de aanval. “We hebben ook gekeken naar het vermogen van aanvallers om hun tools tijdens een actieve inbraak direct aan te passen aan een bepaalde beveiligingsoplossing”, voegt ESET-onderzoeker Tomáš Zvara toe.

De IT-wereld is snel. Mis niets.

Het laatste ICT-nieuws in uw mailbox

Door -Redactioneel-