Konkurenční ransomwarové gangy se společně snaží vypnout obranné technologie

„V celosvětovém boji proti ransomwaru jsme mohli v roce 2024 sledovat dosažení dvou milníků: Dva dříve největší ransomwarové gangy, LockBit a BlackCat, zmizely ze scény. A poprvé od roku 2022 jsme zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 procent, což je v tomto kontextu ohromující číslo. 

Na druhou stranu ale podle webových stránek, které veřejně publikují informace o útocích a únicích dat, vzrostl zaznamenaný počet obětí přibližně o 15 procent. Velkou část tohoto nárůstu má na svědomí právě RansomHub, nový gang fungující v modelu ransomware-as-a-service. Jde o model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům,“ říká Jakub Souček, vedoucí pražského výzkumného týmu společnosti Eset.

RansomHub vyvinul vlastní nástroj k obcházení bezpečnostního řešení

Stejně jako jakýkoli jiný vznikající gang, i RansomHub potřeboval přilákat partnery, kteří si pronajmou služby ransomwaru od jeho operátorů. Počáteční inzerát útočníci zveřejnili na rusky mluvícím fóru RAMP začátkem února 2024, osm dní před zveřejněním prvních obětí. 

Gang RansomHub zakazuje provádět útoky na země postsovětského Společenství nezávislých států, Kubu, Severní Koreu nebo Čínu. Zajímavostí je také to, že gang láká partnery s příslibem, že si mohou ponechat ve svých peněženkách většinu platby (až 90 %) za výkupné od napadených obětí.

O zbylých 10 procent z výkupného se pak musí partneři podělit s operátory. Právě důvěra operátorů v partnery, že jim tuto částku skutečně pošlou, je v prostředí ransomwarových gangů unikátní.

V květnu 2024 pak operátoři gangu RansomHub významným způsobem aktualizovali podobu útoku: přidali svůj vlastní nástroj k vypnutí technologie EDR. Cílem tohoto speciálního typu škodlivého kódu je ukončit, zmást nebo obejít bezpečností software, který má oběť nainstalovaný ve svém systému. Dochází k tomu obvykle prostřednictvím zranitelného ovladače.

Nástroj k zneškodnění EDR s názvem EDRKillShifter gang RansomHub sám vyvinul, spravuje ho a nabízí k použití svým partnerům. Funkčně se jedná o typickou technologii ke zneškodnění EDR v rámci široké škály různých bezpečnostních řešení, na které útočníci předpokládají, že narazí při pokusu o proniknutí do sítí svých obětí.

Jak je na tom kybernetická bezpečnost v České republice? Jak bezpečné jsou české digitální sítě?

0:00/

„Rozhodnutí implementovat takovou technologii a nabídnout ji partnerům jako součást programu RaaS je vzácné. Partneři musí obvykle sami najít způsoby, jak bezpečnostní řešení obejít. Někteří používají již existující nástroje, zatímco více technicky zaměření útočníci si takové nástroje dále upravují pro vlastní potřeby. Někteří mohou využít i nástroje, které jsou jako služby dostupné na dark webu. Zaznamenali jsme prudký nárůst využívání nástroje EDRKillShifter, a to nejen v případě útoků gangu RansomHub,“ vysvětluje Souček z Esetu.

Bezpečnostní experti z Esetu zjistili, že partneři gangu RansomHub pracují pro tři další soupeřící gangy – Play, Medusa a BianLian. Odhalení spojení mezi gangy RansomHub a Medusa není překvapivé, protože je obecně známo, že partneři z ransomwarového prostředí často pracují pro více operátorů současně. 

Přečtěte si také:

Rozeznáte fotografii od obrázku vytvořeného umělou inteligencí?

Na druhou stranu je ale nepravděpodobné, že by si gangy Play a BianLian najaly stejného partnera gangu RansomHub, a to kvůli uzavřené povaze těchto skupin útočníků.

Je to ale jedno z možných vysvětlení, proč mají gangy Play a BianLian přístup ke škodlivému kódu EDRKillShifter. Daleko pravděpodobnější je nicméně scénář, ve kterém důvěryhodní členové gangů Play a BianLian spolupracují s rivaly, dokonce i s nově vzniklými jako RansomHub, a pak používají jejich nástroje pro své vlastní útoky. Ransomwarový gang Play je také spojován se skupinou Andariel, která je napojena na Severní Koreu.