- ESET a identifié des connexions entre les groupes RansomHub, Play, Medusa et BianLian en traçant les outils fournis par RansomHub à ses affiliés.
- D’autre part, cette étude met en lumière la croissance d’outils conçus pour neutraliser les EDR.
ESET a analysé l'écosystème actuel des ransomwares, avec un focus particulier sur RansomHub et son modèle de vente de service de rançongiciel (ransomware as service). Ce nouveau gang de ransomware-as-a-service prend la tête des fournisseurs de logiciels malveillants chiffrant et de leurs services associés. Ce rapport révèle des liens entre RansomHub et les gangs Play, Medusa et BianLian, tout en mettant en évidence EDRKillShifter, un outil développé par RansomHub pour contourner les systèmes de détection et réponse des endpoints (EDR).
« En 2024, deux événements majeurs ont marqué la lutte contre les ransomwares : le retrait des gangs LockBit et BlackCat, et une baisse de 35% des paiements de rançons. Cependant, le nombre de victimes annoncées publiquement a augmenté de 15%, principalement en raison de RansomHub, qui a émergé à la suite de l'opération Cronos contre LockBit. », explique Jakub Souček, chercheur chez ESET, qui a enquêté sur RansomHub.
Pour recruter ses affiliés, le groupe a utilisé le forum RAMP, dès février 2024. Les premières victimes ont rapidement suivi. Si les règles sont simples, dans ses conditions d’exploitation, le gang interdit pourtant d'attaquer les pays de la Communauté des États indépendants (CEI), ainsi que Cuba, la Corée du Nord et la Chine. Quant à la rémunération des affiliés, le modèle économique leur permet de recevoir directement les rançons, ceux-ci doivent ensuite reverser 10% de la somme à RansomHub.
Pour augmenter les chances de succès de ses affiliés, le gang met à disposition un EDR Killer : EDRKillShifter, un outil conçu pour neutraliser les solutions de sécurité des victimes (EDR) en exploitant des pilotes vulnérables.
« Contrairement aux pratiques habituelles où les affiliés doivent trouver leurs propres moyens d'échapper aux outils de détection, RansomHub fournit directement cet outil à ses partenaires. Les chercheurs d'ESET ont constaté une augmentation significative de l'utilisation d'EDRKillShifter, même en dehors des attaques de RansomHub. » explique M. Souček. « Les outils avancés conçus pour neutraliser les EDR combinent un composant en mode utilisateur avec un pilote légitime mais vulnérable. Le processus d'exécution implique l'installation du pilote vulnérable et l'exploitation de sa faille pour tuer les processus de sécurité. » ajoute M. Souček.
ESET a découvert que des affiliés de RansomHub travaillent simultanément pour Play, Medusa et BianLian. Si la connexion avec Medusa n'est pas surprenante, l'accès des groupes Play et BianLian à EDRKillShifter suggère, soit le partage improbable d'un même affilié par ces gangs, soit plus vraisemblablement, d’une collaboration entre membres de ces organisations. Notons que RansomHub et Play ont notamment été associés au groupe nord-coréen Andariel.
Pour découvrir l'analyse technique de RansomHub et EDRKillShifter, consultez l’article de blog d'ESET Research « Shifting the sands of RansomHub's EDRKillShifter » sur WeLiveSecurity.com.
Vue d'ensemble des liens entre Medusa, RansomHub, BianLian et Play.
Contact Presse :
Jolya COHOUNDO : jolya.c@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.