Il cybercrimine si evolve e cresce a dismisura. Nascono nuovi gruppi e nuove bande attive soprattutto nel ransomware, che sono in grado di sfruttare strumenti evoluti progettati per eludere anche i sistemi di sicurezza più accurati.
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno analizzato i cambiamenti più recenti nell’ecosistema del ransomware, con un focus su RansomHub, nuova banda ransomware-as-a-service (RaaS) emersa nel 2024 e rapidamente diventata dominante. Il report offre una panoramica inedita sulla struttura degli affiliati e rivela collegamenti diretti con gruppi già affermati come Play, Medusa e BianLian. L’analisi approfondisce inoltre l’uso crescente degli Endpoint Detection and Response (EDR) killers, con particolare attenzione a EDRKillShifter, uno strumento sviluppato e gestito direttamente da RansomHub.
Nel 2024, la lotta al ransomware ha raggiunto due traguardi significativi: la scomparsa delle bande LockBit e BlackCat, precedentemente tra le più attive, e un calo significativo — pari al 35% — nei pagamenti documentati. Tuttavia, è aumentato del 15% il numero di vittime pubblicate sui siti di leak (dove vengono esposti pubblicamente i dati rubati alle aziende che non pagano il riscatto), incremento in gran parte attribuibile a RansomHub, attiva dal periodo immediatamente successivo all’operazione Cronos, condotta dalle forze dell’ordine contro LockBit.
RansomHub: dalle origini a EDRKillShifter, l’EDR killer personalizzato
Come accade per ogni nuova realtà RaaS, RansomHub ha dovuto attrarre affiliati, pubblicizzando i propri servizi nel forum in lingua russa, RAMP all’inizio di febbraio 2024, appena otto giorni prima della pubblicazione dei primi nomi di vittime. Il gruppo vieta esplicitamente attacchi contro i Paesi della Comunità degli Stati Indipendenti (CSI), Cuba, Corea del Nord e Cina. Un elemento distintivo della sua proposta è la promessa rivolta agli affiliati: ricevere l’intero importo del riscatto direttamente sul proprio wallet, con la sola aspettativa di condividere volontariamente il 10% con gli operatori, una formula piuttosto insolita.
Nel mese di maggio, gli operatori di RansomHub hanno introdotto un aggiornamento significativo, presentando il proprio EDR killer personalizzato: EDRKillShifter. Si tratta di un tipo di malware progettato per disattivare, rendere inefficaci o far crashare le soluzioni di sicurezza presenti sul sistema della vittima, in genere sfruttando driver vulnerabili.
EDRKillShifter è stato sviluppato internamente e integrato nella dotazione messa a disposizione dal gruppo. A livello operativo si comporta come un tipico EDR killer, pensato per aggirare i software di protezione che il gruppo si aspetta di trovare durante gli attacchi. La scelta di fornire direttamente questo strumento agli affiliati è rara: di norma, ciascun affiliato deve trovare in autonomia un modo per eludere i sistemi di protezione, riutilizzando strumenti esistenti, adattando proof of concept pubblici o acquistando EDR killer disponibili nel dark web. ESET ha osservato un forte aumento nell’utilizzo di EDRKillShifter, anche al di fuori dei casi direttamente riconducibili a RansomHub.
Gli EDR killer più avanzati sono composti da due elementi: un componente in modalità utente, responsabile del coordinamento, e un driver legittimo ma vulnerabile. L’esecuzione avviene in modo diretto: il codice installa il driver vulnerabile (in genere incluso nel malware stesso), scorre una lista di nomi di processo legati a software di sicurezza e invia al driver un comando per attivare la vulnerabilità e terminare i processi dal kernel. “Difendersi dagli EDR killer è complesso. I cybercriminali necessitano di privilegi amministrativi per installarli, quindi l’obiettivo è rilevarli e bloccarli prima che arrivino a quel punto,” spiega Souček.
Affiliati e rivali
ESET ha scoperto che alcuni affiliati di RansomHub lavorano anche per tre bande rivali: Play, Medusa e BianLian. Il legame con Medusa non sorprende, poiché è noto che gli affiliati spesso collaborano con più operatori contemporaneamente. Più inaspettata è la condivisione di strumenti tra RansomHub, Play e BianLian: è improbabile che queste ultime due abbiano ingaggiato lo stesso affiliato. Una spiegazione più plausibile è che membri fidati di Play e BianLian stiano collaborando con RansomHub, riutilizzando gli strumenti ricevuti nei propri attacchi. Si ricorda inoltre che Play è stato precedentemente collegato al gruppo nordcoreano Andariel.
