28/03/25
Общим звеном между ними стал специализированный инструмент отключения систем защиты — EDRKillShifter, изначально разработанный участниками RansomHub. Теперь он применяется и в атаках других групп, несмотря на закрытую природу их моделей распространения.
EDRKillShifter использует приём, известный как Bring Your Own Vulnerable Driver (BYOVD), пишут в Securitylab. Его суть заключается в том, что злоумышленники устанавливают на заражённые устройства легитимный, но уязвимый драйвер, через который отключаются средства обнаружения и реагирования на угрозы. Это позволяет запускать программу-шифратор без риска быть остановленным антивирусами и другими защитными решениями.
Как отметили исследователи, авторы программ-вымогателей редко обновляют свои шифровальщики, чтобы избежать ошибок, которые могут навредить репутации. Поэтому защитное ПО успевает научиться их эффективно обнаруживать. В ответ на это афилированные участники атак всё чаще используют средства отключения защиты, чтобы подготовить систему к запуску шифратора.
Особый интерес вызывает тот факт, что EDRKillShifter был создан специально для аффилиатов RansomHub, а теперь используется в атаках от имени Medusa, BianLian и Play. Причём две последние группировки традиционно не принимают новых участников и опираются только на проверенных союзников. Это указывает на потенциальное сотрудничество между членами разных преступных сообществ.
ESET предполагает, что некоторые участники закрытых RaaS-группировок, несмотря на внутреннюю изоляцию, обмениваются инструментами с конкурентами, в том числе с новичками. Такое поведение особенно нетипично для тех, кто обычно придерживается одного набора проверенных средств взлома.
Исследователи считают, что за целым рядом недавних атак может стоять один и тот же исполнитель, получивший условное имя QuadSwitcher. По ряду признаков его действия близки к методам, характерным для группировки Play, что может указывать на прямую связь.
Кроме того, EDRKillShifter был замечен и в атаках от лица другого афилиата — CosmicBeetle, который использовал его как минимум в трёх случаях при действиях от имени RansomHub и LockBit.
