חוקרי חברת אבטחת המידע ESET מפרסמים ניתוח מעמיק על שינויים משמעותיים באקו-סיסטם של מתקפות כופר, תוך התמקדות בקבוצת כופר-כשירות (Ransomware-as-a-Service) חדשה, RansomHub, שצמחה במהירות והפכה לדומיננטית במיוחד. הדו"ח כולל תובנות שלא פורסמו עד כה על מבנה השותפים של הקבוצה וחושף קשרים ברורים בין קבוצת הענק החדשה לבין כנופיות ותיקות כמו Play, Medusa ו-BianLian.
בנוסף ESET, מצביעה על איום מתפתח נוסף: כלים לניטרול פתרונות אבטחה מסוג EDR (Endpoint Detection and Response). במסגרת המחקר נחשף EDRKillShifter - כלי ייעודי שמיועד לשתק מערכות הגנה, שפותח ומתוחזק על ידי RansomHub. חוקרי ESET מדווחים על עלייה במספר קבוצות שותפות של כופרה שמשתמשות בקוד לנטרול EDR, המבוסס על קוד זדוני ממתקפות שפורסמו ונמצא ברשת, בעוד מערך הדרייברים המנוצלים נשאר כמעט ללא שינוי.
"המאבק בכופרות הגיע לשתי אבני דרך בשנת 2024: LockBit ו-BlackCat - שתי הקבוצות המובילות עד כה - יצאו מהמשחק. ובפעם הראשונה מאז 2022, נרשמה ירידה דרמטית של 35% בתשלומי כופר שדווחו. מצד שני, מספר הקורבנות שפורסמו באתרים ייעודיים להדלפות עלה בכ-15%. חלק גדול מהעלייה הזו מיוחס ל-RansomHub - קבוצת RaaS חדשה שהופיעה בסמוך למבצע אכיפת החוק Operation Cronos, שפגע בפעילות של LockBit," אומר יאקוב סוצ'ק, חוקר ESET שחקר את פעילות RansomHub.
כמו כל קבוצת כופר-כשירות (RaaS) חדשה, גם RansomHub הייתה צריכה למשוך אליה שותפים - אותם גורמים שמשכירים שירותי כופרה מהמפעילים. וכפי שקורה לעיתים בעולם הפשע המקוון - ככל שיש יותר שותפים, כך הכוח גדל, ולכן המפעילים לא הקפידו יותר מדי בבחירה. הפרסום הראשוני של הקבוצה עלה בתחילת פברואר 2024 - שמונה ימים בלבד לפני שפורסמו הקורבנות הראשונים, בפורום בשפה הרוסית בשם RAMP.
לפגוע ברוסיה? אין סיכוי
RansomHub אוסרת על תקיפות במדינות ברית המועצות לשעבר - וכן בקובה, צפון קוריאה או סין. באופן מעניין, אחת הדרכים בהן הקבוצה מושכת שותפים היא הבטחה לא שגרתית: השותפים יקבלו 100% מתשלום הכופר ישירות לארנק הדיגיטלי שלהם, תוך שהמפעילים סומכים עליהם שיחזירו 10% מהמימון. גישה זו יוצאת דופן ביחס למודלים המקובלים בעולם הכופר-כשירות.
במאי 2024, מפעילי RansomHub ביצעו עדכון משמעותי: הם הציגו כלי EDR Killer פרי פיתוחם - סוג של תוכנה זדונית שתפקידה להשבית, לעוור ולגרום לקריסה של מערכות ההגנה שמותקנות על מחשב הקורבן, לרוב באמצעות ניצול דרייבר פגיע. הכלי נקרא EDRKillShifter והוא משמש כתוכנה זדונית מותאמת אישית שפותחה ומתוחזקת על ידי חברי RansomHub ומוצע לשימוש השותפים של הקבוצה. מבחינת יכולות - מדובר בכלי טיפוסי מסוגו, שתוקף מגוון רחב של פתרונות אבטחה - כאלה שהמפעילים מצפים לפגוש ברשתות אליהן הם מנסים לחדור.
"ההחלטה לשלב כלי לנטרול מערכות אבטחה (killer) ולהציע אותו לשותפים כחלק ממודל ה־RaaS היא יוצאת דופן", מסביר סוצ'ק. "ברוב המקרים, השותפים נדרשים למצוא בעצמם דרכים לעקוף תוכנות אבטחה - חלקם עושים שימוש חוזר בכלים קיימים, בעוד אחרים, בעלי ידע טכני מתקדם יותר, משנים טקטיקות תקיפה מוכרות או משתמשים ב־EDR killers שמוצעים כשירות ברשת האפלה.
חוקרי ESET זיהו עלייה חדה בשימוש ב-EDRKillShifter ולא רק במקרים הקשורים ל-RansomHub. כלים מתקדמים כמו EDR killers מורכבים משני רכיבים עיקריים: רכיב במצב משתמש (user mode) שאחראי על תיאום הפעולה של הקוד, ודרייבר לגיטימי אך פגיע (עם פרצה).
תהליך ההפעלה לרוב פשוט למדי: קוד הkiller- מתקין את הדרייבר הפגיע - שבדרך כלל כבר מוטמע בתוך הנתונים או המשאבים של הכלי - עובר על רשימה של שמות תהליכים של תוכנות אבטחה, ושולח פקודה לדרייבר הפגיע. הפקודה מנצלת את הפרצה ומביאה לסיום (killing) של התהליך ממעמקי הקרנל (kernel mode)."ההתמודדות עם EDR killers מהווה אתגר אמיתי", מוסיף סוצ'ק. כדי להפעיל EDR killer התוקפים חייבים להיות בעלי הרשאות ניהול ברמת אדמין ולכן רצוי לזהות ולנטרל אותם לפני שהם מגיעים לשלב הזה."
ESET גילתה כי שותפים של RansomHub פועלים גם עבור שלוש כנופיות יריבות: Play, Medusa ו־BianLian. הקשר בין RansomHub לMedusa- אינו מפתיע במיוחד, שכן מקובל בעולם הכופרות ששותפים עובדים עם כמה מפעילים במקביל. לעומת זאת, העובדה ש-Play ו-BianLian מחזיקות בגישה ל- EDRKillShifter מעוררת שאלות. הסבר אפשרי אחד הוא ששלוש הקבוצות שכרו את שירותיו של אותו שותף מ־RansomHub תרחיש פחות סביר, לאור האופי הסגור Play ו-BianLian. הסבר סביר יותר הוא שחברים מהימנים מתוך Play ו־BianLian משתפים פעולה עם יריבים כולל קבוצות חדשות כמו RansomHub - ולאחר מכן ממחזרים את הכלים שקיבלו מהם לצורך תקיפות משלהם. נציין כי קבוצת Play כבר נקשרה בעבר ל־Andariel, קבוצה המזוהה עם צפון קוריאה.