כנופיות יריבות? מסתבר שזה קיים גם בעולם הסייבר

RansomHub אוסרת על תקיפות במדינות ברית המועצות לשעבר – וכן בקובה, צפון קוריאה או סין. באופן מעניין, אחת הדרכים בהן הקבוצה מושכת שותפים היא הבטחה לא שגרתית: השותפים יקבלו 100% מתשלום הכופר ישירות לארנק הדיגיטלי שלהם, תוך שהמפעילים סומכים עליהם שיחזירו 10% מהמימון. גישה זו יוצאת דופן ביחס למודלים המקובלים בעולם הכופר-כשירות.

במאי 2024, מפעילי RansomHub ביצעו עדכון משמעותי: הם הציגו כלי EDR Killer פרי פיתוחם – סוג של תוכנה זדונית שתפקידה להשבית, לעוור ולגרום לקריסה של מערכות ההגנה שמותקנות על מחשב הקורבן, לרוב באמצעות ניצול דרייבר פגיע. הכלי נקרא EDRKillShifter והוא משמש כתוכנה זדונית מותאמת אישית שפותחה ומתוחזקת על ידי חברי RansomHub ומוצע לשימוש השותפים של הקבוצה. מבחינת יכולות – מדובר בכלי טיפוסי מסוגו, שתוקף מגוון רחב של פתרונות אבטחה – כאלה שהמפעילים מצפים לפגוש ברשתות אליהן הם מנסים לחדור.

"ההחלטה לשלב כלי לנטרול מערכות אבטחה (killer) ולהציע אותו לשותפים כחלק ממודל ה־RaaS היא יוצאת דופן", מסביר סוצ'ק. "ברוב המקרים, השותפים נדרשים למצוא בעצמם דרכים לעקוף תוכנות אבטחה – חלקם עושים שימוש חוזר בכלים קיימים, בעוד אחרים, בעלי ידע טכני מתקדם יותר, משנים טקטיקות תקיפה מוכרות או משתמשים ב־EDR killers שמוצעים כשירות ברשת האפלה.

חוקרי ESET זיהו עלייה חדה בשימוש ב-EDRKillShifter ולא רק במקרים הקשורים ל-RansomHub. כלים מתקדמים כמו EDR killers מורכבים משני רכיבים עיקריים: רכיב במצב משתמש (user mode) שאחראי על תיאום הפעולה של הקוד, ודרייבר לגיטימי אך פגיע (עם פרצה).

תהליך ההפעלה לרוב פשוט למדי: קוד הkiller- מתקין את הדרייבר הפגיע – שבדרך כלל כבר מוטמע בתוך הנתונים או המשאבים של הכלי – עובר על רשימה של שמות תהליכים של תוכנות אבטחה, ושולח פקודה לדרייבר הפגיע. הפקודה מנצלת את הפרצה ומביאה לסיום (killing) של התהליך ממעמקי הקרנל (kernel mode)."ההתמודדות עם EDR killers מהווה אתגר אמיתי", מוסיף סוצ'ק. כדי להפעיל EDR killer התוקפים חייבים להיות בעלי הרשאות ניהול ברמת אדמין ולכן רצוי לזהות ולנטרל אותם לפני שהם מגיעים לשלב הזה."

ESET גילתה כי שותפים של RansomHub פועלים גם עבור שלוש כנופיות יריבות: Play, Medusa ו־BianLian. הקשר בין RansomHub לMedusa- אינו מפתיע במיוחד, שכן מקובל בעולם הכופרות ששותפים עובדים עם כמה מפעילים במקביל. לעומת זאת, העובדה ש-Play ו-BianLian מחזיקות בגישה ל- EDRKillShifter מעוררת שאלות. הסבר אפשרי אחד הוא ששלוש הקבוצות שכרו את שירותיו של אותו שותף מ־RansomHub תרחיש פחות סביר, לאור האופי הסגור Play ו-BianLian. הסבר סביר יותר הוא שחברים מהימנים מתוך Play ו־BianLian משתפים פעולה עם יריבים כולל קבוצות חדשות כמו RansomHub – ולאחר מכן ממחזרים את הכלים שקיבלו מהם לצורך תקיפות משלהם. נציין כי קבוצת Play כבר נקשרה בעבר ל־Andariel, קבוצה המזוהה עם צפון קוריאה.