Πολλές ransomware ομάδες χρησιμοποιούν το EDRKillShifter της RansomHub
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Πολλές ransomware ομάδες χρησιμοποιούν το EDRKillShifter της RansomHub
https://www.secnews.gr/644612/polles-ransomware-omades-xrisimopoioun-edrkillshifter-ransomhub/
Mar 27th 2025, 16:55
by Digital Fortress
Ερευνητές της ESET αποκάλυψαν συνδέσεις μεταξύ των affiliates της ομάδας RansomHub και άλλων ομάδων ransomware, όπως το Medusa, το BianLian και το Play.
Απ' ό,τι φαίνεται όλοι αυτοί οι hackers χρησιμοποιούν ένα custom εργαλείο, το EDRKillShifter, που έχει σχεδιαστεί για να απενεργοποιεί τα λογισμικά εντοπισμού και απόκρισης τελικού σημείου (EDR killers) σε παραβιασμένους κεντρικούς υπολογιστές. Τον Αύγουστο του 2024, οι ερευνητές παρατήρησαν για πρώτη φορά ότι το EDRKillShifter χρησιμοποιούνταν από την ομάδα RansomHub.
Η χρήση τέτοιων εργαλείων διασφαλίζει την ομαλή εκτέλεση του ransomware encryptor, χωρίς να επισημαίνεται από λύσεις ασφαλείας.
Δείτε επίσης: Νέα έκθεση: Τα περιστατικά ransomware και vishing αυξήθηκαν
"Κατά τη διάρκεια μιας εισβολής, ο στόχος του affiliate είναι να αποκτήσει δικαιώματα διαχειριστή ή domain admin", δήλωσαν οι ερευνητές της ESET, Jakub Souček και Jan Holman σε μια αναφορά.
"Οι χειριστές ransomware τείνουν να μην κάνουν μεγάλες ενημερώσεις των encryptors τους πολύ συχνά, λόγω του κινδύνου εισαγωγής ενός ελαττώματος που θα μπορούσε να προκαλέσει προβλήματα, βλάπτοντας τελικά τη φήμη τους. Ως αποτέλεσμα, οι προμηθευτές ασφαλείας εντοπίζουν αρκετά καλά τους encryptors, και οι affiliates χρησιμοποιούν EDR killers για να "ξεφορτωθούν" τη λύση ασφαλείας λίγο πριν την εκτέλεση".
Δείτε επίσης: RedCurl hackers: Στρέφονται από την κατασκοπεία στο ransomware
Οι ερευνητές της ESET παρατήρησαν ότι ένα τέτοιο εργαλείο, το EDRKillShifter, που αναπτύχθηκε από τους χειριστές του RansomHub και προσφέρεται σε affiliates, χρησιμοποιείται και σε άλλες επιθέσεις ransomware που σχετίζονται με το Medusa, το BianLian και το Play.
Αυτό είναι ιδιαίτερα ενδιαφέρον αν λάβουμε υπόψη ότι τα Play και BianLian ransomware λειτουργούν σύμφωνα με το κλειστό μοντέλο RaaS, το οποίο σημαίνει ότι οι φορείς απειλών δεν επιδιώκουν ενεργά να προσλάβουν νέους affiliates και οι συνεργασίες τους βασίζονται στη μακροπρόθεσμη αμοιβαία εμπιστοσύνη.
"Τα αξιόπιστα μέλη των ομάδων Play και BianLian συνεργάζονται με ανταγωνιστές, ακόμη και με νεοεμφανιζόμενες ομάδες όπως τη RansomHub, και στη συνέχεια επαναχρησιμοποιούν τα εργαλεία που λαμβάνουν από αυτούς τους αντιπάλους στις δικές τους επιθέσεις", θεωρεί η ESET. "Αυτό είναι ιδιαίτερα ενδιαφέρον, καθώς τέτοιες κλειστές συμμορίες χρησιμοποιούν συνήθως ένα αρκετά συνεπές σύνολο βασικών εργαλείων κατά τη διάρκεια των εισβολών τους".
Δείτε επίσης: Η ομάδα ransomware Arkana λέει ότι παραβίασε την WideOpenWest
Υπάρχουν υποψίες ότι όλες αυτές οι επιθέσεις ransomware έχουν πραγματοποιηθεί από τον ίδιο παράγοντα απειλών, που ονομάζεται QuadSwitcher.
Προστασία από ransomware επιθέσεις
• Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
• Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
• Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
• Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
• Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
• Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
• Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
• Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
• Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
• Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Πολλές ransomware ομάδες χρησιμοποιούν το EDRKillShifter της RansomHub
https://www.secnews.gr/644612/polles-ransomware-omades-xrisimopoioun-edrkillshifter-ransomhub/
Mar 27th 2025, 16:55
by Digital Fortress
Ερευνητές της ESET αποκάλυψαν συνδέσεις μεταξύ των affiliates της ομάδας RansomHub και άλλων ομάδων ransomware, όπως το Medusa, το BianLian και το Play.
Απ' ό,τι φαίνεται όλοι αυτοί οι hackers χρησιμοποιούν ένα custom εργαλείο, το EDRKillShifter, που έχει σχεδιαστεί για να απενεργοποιεί τα λογισμικά εντοπισμού και απόκρισης τελικού σημείου (EDR killers) σε παραβιασμένους κεντρικούς υπολογιστές. Τον Αύγουστο του 2024, οι ερευνητές παρατήρησαν για πρώτη φορά ότι το EDRKillShifter χρησιμοποιούνταν από την ομάδα RansomHub.
Η χρήση τέτοιων εργαλείων διασφαλίζει την ομαλή εκτέλεση του ransomware encryptor, χωρίς να επισημαίνεται από λύσεις ασφαλείας.
Δείτε επίσης: Νέα έκθεση: Τα περιστατικά ransomware και vishing αυξήθηκαν
"Κατά τη διάρκεια μιας εισβολής, ο στόχος του affiliate είναι να αποκτήσει δικαιώματα διαχειριστή ή domain admin", δήλωσαν οι ερευνητές της ESET, Jakub Souček και Jan Holman σε μια αναφορά.
"Οι χειριστές ransomware τείνουν να μην κάνουν μεγάλες ενημερώσεις των encryptors τους πολύ συχνά, λόγω του κινδύνου εισαγωγής ενός ελαττώματος που θα μπορούσε να προκαλέσει προβλήματα, βλάπτοντας τελικά τη φήμη τους. Ως αποτέλεσμα, οι προμηθευτές ασφαλείας εντοπίζουν αρκετά καλά τους encryptors, και οι affiliates χρησιμοποιούν EDR killers για να "ξεφορτωθούν" τη λύση ασφαλείας λίγο πριν την εκτέλεση".
Δείτε επίσης: RedCurl hackers: Στρέφονται από την κατασκοπεία στο ransomware
Οι ερευνητές της ESET παρατήρησαν ότι ένα τέτοιο εργαλείο, το EDRKillShifter, που αναπτύχθηκε από τους χειριστές του RansomHub και προσφέρεται σε affiliates, χρησιμοποιείται και σε άλλες επιθέσεις ransomware που σχετίζονται με το Medusa, το BianLian και το Play.
Αυτό είναι ιδιαίτερα ενδιαφέρον αν λάβουμε υπόψη ότι τα Play και BianLian ransomware λειτουργούν σύμφωνα με το κλειστό μοντέλο RaaS, το οποίο σημαίνει ότι οι φορείς απειλών δεν επιδιώκουν ενεργά να προσλάβουν νέους affiliates και οι συνεργασίες τους βασίζονται στη μακροπρόθεσμη αμοιβαία εμπιστοσύνη.
"Τα αξιόπιστα μέλη των ομάδων Play και BianLian συνεργάζονται με ανταγωνιστές, ακόμη και με νεοεμφανιζόμενες ομάδες όπως τη RansomHub, και στη συνέχεια επαναχρησιμοποιούν τα εργαλεία που λαμβάνουν από αυτούς τους αντιπάλους στις δικές τους επιθέσεις", θεωρεί η ESET. "Αυτό είναι ιδιαίτερα ενδιαφέρον, καθώς τέτοιες κλειστές συμμορίες χρησιμοποιούν συνήθως ένα αρκετά συνεπές σύνολο βασικών εργαλείων κατά τη διάρκεια των εισβολών τους".
Δείτε επίσης: Η ομάδα ransomware Arkana λέει ότι παραβίασε την WideOpenWest
Υπάρχουν υποψίες ότι όλες αυτές οι επιθέσεις ransomware έχουν πραγματοποιηθεί από τον ίδιο παράγοντα απειλών, που ονομάζεται QuadSwitcher.
Προστασία από ransomware επιθέσεις
• Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
• Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
• Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
• Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
• Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
• Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
• Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
• Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
• Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
• Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια