- ESET Research publiceert haar analyse van het huidige ransomware-ecosysteem, met focus op de ransomware-as-a-service (RaaS)-bende RansomHub.
- ESET ontdekte verbanden tussen RansomHub, Play, Medusa en BianLian door het digitale gereedschap te volgen die RansomHub aanbiedt aan de cybercriminelen die gebruik maken van hun ransomware-dienstverlening.
- De analyse van ESET documenteert bevindingen over EDRKillShifter en biedt inzicht in de opkomende dreiging van EDR-killers; malware die ontworpen is om computerbeveiliging onklaar te maken.
Sliedrecht, 26 maart 2025 – ESET-onderzoekers hebben een diepgaande analyse gepubliceerd over significante veranderingen in het ransomware-ecosysteem, met specifieke aandacht voor de opkomst van RansomHub, momenteel een dominante speler binnen ransomware-as-a-service (RaaS). Het rapport onthult niet eerder gepubliceerde inzichten over het samenwerkingsnetwerk van RansomHub en brengt duidelijke connecties aan het licht tussen deze nieuwe gigant en de gevestigde ransomwaregroepen Play, Medusa en BianLian.
Daarnaast werpt ESET licht op de opkomende dreiging van Endpoint Detection & Response (EDR)-killers en onthult het EDRKillShifter, een op maat gemaakte EDR-killer die door RansomHub is ontwikkeld en onderhouden. Met zo’n EDR-killer kunnen cybercriminelen de beveiligingsproducten op het systeem van een slachtoffer uitschakelen, omzeilen of laten crashen, doorgaans door misbruik te maken van een kwetsbaar stuurprogramma. ESET heeft een toename waargenomen in ransomware-affiliates die EDR-killer-code gebruiken op basis van openbaar beschikbare proof-of-concepts, terwijl de set misbruikte stuurprogramma’s grotendeels ongewijzigd blijft.
“De strijd tegen ransomware bereikte in 2024 twee mijlpalen: LockBit en BlackCat, voorheen de twee grootste ransomwaregroepen, verdwenen van het toneel. Voor het eerst sinds 2022 daalden de geregistreerde ransomwarebetalingen bovendien aanzienlijk met maar liefst 35 procent. Daarentegen steeg het aantal slachtoffers dat werd aangekondigd op specifieke lekwebsites met ongeveer 15 procent. Een groot deel van deze stijging is toe te schrijven aan RansomHub, een nieuwe RaaS-bende die opkwam rond de tijd dat Operation Cronos de activiteiten van LockBit verstoorde,” zegt ESET-onderzoeker Jakub Souček, die RansomHub onderzocht.
RansomHub’s snelle opkomst en unieke aanpak
Net als elke nieuwe RaaS-bende moest RansomHub affiliates aantrekken – cybercriminelen die de ransomware-diensten huren van de operators. Aangezien er kracht schuilt in aantallen, waren de operators niet erg selectief. De eerste advertentie verscheen begin februari 2024 op het Russischtalige RAMP-forum, acht dagen voordat de eerste slachtoffers openbaar werden gemaakt. RansomHub verbiedt aanvallen op Cuba, Noord-Korea en China maar ook op landen uit het Gemenebest van Onafhankelijke Staten (GOS) dat bestaat uit de landen van de voormalige Sovjet-Unie. Opvallend is dat de bende affiliates lokt met de belofte dat zij de volledige losgeldbetaling rechtstreeks op hun eigen wallet ontvangen, waarbij de operators erop vertrouwen dat affiliates 10 procent met hen delen – een ongebruikelijke aanpak binnen de RaaS-wereld.
EDRKillShifter: RansomHub’s maatwerk EDR-killer
In mei introduceerden de operators van RansomHub een belangrijke update: hun eigen EDR-killer genaamd EDRKillShifter. Het is een op maat gemaakt hulpmiddel dat door de bende wordt ontwikkeld en onderhouden. EDRKillShifter wordt aangeboden aan RansomHub- affiliates en is in essentie een typische EDR-killer die een breed scala aan beveiligingsoplossingen aanvalt waarvan de RansomHub-operators verwachten dat ze zich bevinden binnen de netwerken die zij willen binnendringen.
“De beslissing om een EDR-killer te implementeren en aan affiliates aan te bieden als onderdeel van het RaaS-programma is zeldzaam. Normaal gesproken moeten affiliates zelf manieren vinden om beveiligingsproducten te omzeilen. Sommigen hergebruiken bestaande tools, terwijl technisch vaardigere cybercriminelen bestaande proof-of-concepts aanpassen of EDR-killers afnemen op het dark web. ESET-onderzoekers zagen een sterke toename in het gebruik van EDRKillShifter, en niet uitsluitend in RansomHub-aanvallen,” legt Souček uit.
Geavanceerde EDR-killers bestaan doorgaans uit twee delen.Een gebruikersmoduscomponent die de aanvallen coördineert (de killer-code) en een legitiem, maar kwetsbaar stuurprogramma dat wordt misbruikt om beveiligingsprocessen uit te schakelen.
Het aanvalsscenario verloopt meestal eenvoudig: de killer-code installeert het kwetsbare stuurprogramma en doorzoekt de lijst met namen van beveiligingsprocessen. Het geeft vervolgens een opdracht aan het kwetsbare stuurprogramma, om de kwetsbaarheid te misbruiken en de beveiligingssoftware te beëindigen.
“Verdediging tegen EDR-killers is een uitdaging. Bedreigingsactoren hebben beheerdersrechten nodig om een EDR-killer te implementeren, dus idealiter moeten ze worden gedetecteerd en geneutraliseerd voordat ze dat punt bereiken,” voegt Souček toe.
RansomHub-affiliates en de connectie met rivaliserende bendes
ESET ontdekte dat de affiliates van RansomHub tegelijkertijd actief zijn voor drie rivaliserende bendes – Play, Medusa en BianLian. Dat er een link is tussen RansomHub en Medusa is niet verrassend, aangezien het bekend is dat ransomware- affiliates vaak voor meerdere operators tegelijkertijd werken. Echter, het feit dat Play en BianLian toegang hebben tot EDRKillShifter suggereert dat ze mogelijk samenwerken met een gedeelde affiliatie. Gezien de gesloten aard van beide bendes is dit echter onwaarschijnlijk. Een meer plausibele verklaring is dat vertrouwde leden van Play en BianLian samenwerken met rivalen zoals RansomHub en de ontvangen digitale gereedschappen vervolgens hergebruiken in hun eigen aanvallen.
De Play-bende is eerder al in verband gebracht met de Noord-Koreaans georiënteerde Andariel-groep.
Voor een gedetailleerde analyse van RansomHub en EDRKillShifter, lees het nieuwste ESET Research-blogartikel “Shifting the sands of RansomHub’s EDRKillShifter” op WeLiveSecurity.com.
Volg ESET Research op Twitter (nu X), BlueSky en Mastodon voor het laatste nieuws.
Schematisch overzicht van de koppelingen tussen Medusa, RansomHub, BianLian en Play.
Over ESET
ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET's bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.