Recenti analisi hanno rivelato connessioni tra il gruppo RansomHub e altri gruppi di ransomware come Medusa, BianLian e Play. La connessione è basata sull'uso di uno strumento personalizzato, l'EDRKillShifter, progettato per disabilitare il software di rilevamento e risposta degli endpoint (EDR) su host compromessi. Questo strumento è stato inizialmente utilizzato dagli attori di RansomHub nell'agosto del 2024. L'EDRKillShifter utilizza una tattica nota come Bring Your Own Vulnerable Driver (BYOVD), che prevede l'uso di un driver legittimo ma vulnerabile per terminare le soluzioni di sicurezza che proteggono gli endpoint.

L'idea è di garantire l'esecuzione fluida del ransomware senza essere individuato dalle soluzioni di sicurezza. Durante un'intrusione, l'obiettivo è ottenere privilegi di amministratore o di dominio. Gli operatori di ransomware tendono a non aggiornare frequentemente i loro strumenti di crittografia per evitare di introdurre errori che potrebbero danneggiare la loro reputazione. Per questo motivo, i fornitori di sicurezza riescono a rilevare gli strumenti di crittografia abbastanza bene, e gli affiliati reagiscono utilizzando strumenti come EDRKillShifter per "sbarazzarsi" delle soluzioni di sicurezza prima di eseguire il crittografo.

È notevole che uno strumento sviluppato da RansomHub venga utilizzato in attacchi ransomware associati a Medusa, BianLian e Play, anche se quest'ultimi operano sotto un modello chiuso RaaS (Ransomware-as-a-Service), in cui le partnership si basano su una fiducia reciproca a lungo termine. Ciò suggerisce che membri fidati di Play e BianLian stiano collaborando con rivali, anche con gruppi emergenti come RansomHub, e riutilizzando gli strumenti ricevuti nei loro attacchi. Questa collaborazione è interessante perché i gruppi chiusi tendono a utilizzare un insieme coerente di strumenti durante le loro intrusioni.

Si sospetta che tutti questi attacchi ransomware siano stati eseguiti dallo stesso attore di minacce, soprannominato QuadSwitcher, che è probabilmente legato a Play, data la somiglianza nelle tecniche di intrusione. Inoltre, EDRKillShifter è stato osservato mentre veniva utilizzato da un altro affiliato noto come CosmicBeetle in diversi attacchi RansomHub e finti attacchi LockBit.

Questo sviluppo avviene in un momento in cui gli attacchi ransomware che utilizzano tecniche BYOVD per distribuire EDR killer sui sistemi compromessi sono in aumento. Ad esempio, il gruppo Embargo è stato scoperto utilizzare un programma chiamato MS4Killer per neutralizzare il software di sicurezza. Recentemente, il gruppo Medusa è stato collegato a un driver dannoso personalizzato chiamato ABYSSWORKER.

Gli attori delle minacce necessitano di privilegi di amministratore per distribuire un EDR killer, quindi idealmente la loro presenza dovrebbe essere rilevata e mitigata prima che raggiungano questo punto. È importante che gli utenti, soprattutto in ambienti aziendali, attivino il rilevamento delle applicazioni potenzialmente non sicure per prevenire l'installazione di driver vulnerabili.