勒索软件团伙越来越多地采用EDR杀手

ESET 在对几个知名勒索软件团伙之间的联系进行调查时得出结论，用于禁用端点检测和响应 (EDR) 解决方案的工具正在进入越来越多的勒索软件团伙的武器库。

继 2024 年LockBit和BlackCat勒索软件组织消亡之后，新的勒索软件团伙崭露头角，其中包括2024 年 2 月出现的勒索软件即服务 (RaaS) 组织 RansomHub 。

勒索软件附属机构从不同的团体迁移到该组织，例如据称是Change Healthcare 黑客事件真凶的 BlackCat 附属机构，使RansomHub勒索软件团伙迅速成为该领域的主要威胁。

2024 年 5 月，该组织在其武器库中增加了 EDRKillShifter，这是一种定制的 EDR 杀手工具，针对众多安全解决方案，依靠密码来保护在执行期间充当中间层的 shellcode。

EDR 杀手在受害者的网络上执行，以致盲、破坏或终止在本地端点上运行的任何安全解决方案。可以使用简单的脚本，或复杂的工具部署易受攻击的驱动程序，然后滥用它们来执行恶意活动。

RansomHub 通过其附属机构可以访问的 RaaS 面板向其提供 EDRKillShifter，ESET 发现该工具被用于众多勒索软件变种的攻击，包括 Play、Medusa 和 BianLian。

Medusa、RansomHub、BianLian 和 Play 之间的联系

由于 BianLian 和 Play 是相对封闭的勒索软件组织，他们对 EDRKillShifter 的访问表明他们可能正在与 RansomHub 合作，并在攻击中重新利用 RaaS 的工具。

ESET 指出：“我们高度相信，所有这些攻击都是由同一威胁组织实施的，他们是四个勒索软件团伙的附属机构”，ESET将该威胁组织命名为 QuadSwitcher。

ESET 表示，其他勒索软件关联团伙也被发现使用 EDRKillShifter，这并不是勒索软件团伙用来禁用安全软件的唯一工具，勒索软件团伙使用的 EDR 杀手种类有所增加。

EDRKillShifter的使用增加被视为勒索软件对抗安全厂商的新手段，而勒索软件加密器很少进行重大更新。

技术报告：

https://www.welivesecurity.com/en/eset-research/shifting-sands-ransomhub-edrkillshifter/

新闻链接：

https://www.securityweek.com/ransomware-groups-increasingly-adopting-edr-killer-tools/

讲述普通人能听懂的安全故事