EDRKillShifter: как один хакерский инструмент объединил 4 элитных банды вымогателей

Недавнее исследование , проведённое компанией ESET, выявило тесные связи между различными группировками вымогателей — RansomHub, Medusa, BianLian и Play. Общим звеном между ними стал специализированный инструмент отключения систем защиты — EDRKillShifter, изначально разработанный участниками RansomHub. Теперь он применяется и в атаках других групп, несмотря на закрытую природу их моделей распространения.

EDRKillShifter использует приём, известный как Bring Your Own Vulnerable Driver (BYOVD). Его суть заключается в том, что злоумышленники устанавливают на заражённые устройства легитимный, но уязвимый драйвер, через который отключаются средства обнаружения и реагирования на угрозы. Это позволяет запускать программу-шифратор без риска быть остановленным антивирусами и другими защитными решениями.

Как отметили исследователи, авторы программ-вымогателей редко обновляют свои шифровальщики, чтобы избежать ошибок, которые могут навредить репутации. Поэтому защитное ПО успевает научиться их эффективно обнаруживать. В ответ на это афилированные участники атак всё чаще используют средства отключения защиты, чтобы подготовить систему к запуску шифратора.

Особый интерес вызывает тот факт, что EDRKillShifter был создан специально для аффилиатов RansomHub, а теперь используется в атаках от имени Medusa, BianLian и Play. Причём две последние группировки традиционно не принимают новых участников и опираются только на проверенных союзников. Это указывает на потенциальное сотрудничество между членами разных преступных сообществ.

ESET предполагает, что некоторые участники закрытых RaaS-группировок, несмотря на внутреннюю изоляцию, обмениваются инструментами с конкурентами, в том числе с новичками. Такое поведение особенно нетипично для тех, кто обычно придерживается одного набора проверенных средств взлома.

Исследователи считают, что за целым рядом недавних атак может стоять один и тот же исполнитель, получивший условное имя QuadSwitcher. По ряду признаков его действия близки к методам, характерным для группировки Play, что может указывать на прямую связь.

Кроме того, EDRKillShifter был замечен и в атаках от лица другого афилиата — CosmicBeetle, который использовал его как минимум в трёх случаях при действиях от имени RansomHub и LockBit.

Применение подобных техник BYOVD, особенно в корпоративной среде, становится всё более распространённым. В 2024 году группировка Embargo использовала программу MS4Killer для отключения защитных решений, а совсем недавно Medusa была замечена с собственным драйвером ABYSSWORKER , выполняющим аналогичные функции.

Чтобы не допустить срабатывания подобных инструментов, необходимо блокировать действия злоумышленников до получения ими прав администратора. В корпоративных системах стоит активировать распознавание потенциально небезопасных приложений и следить за установкой драйверов, особенно тех, что имеют известные уязвимости.