Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

EDRKillShifter: Lo Strumento che Unisce le Cyber Gang Ransomware più Temute!

Redazione RHC : 28 Marzo 2025 14:08

Di EDRKillShifter ne avevamo abbondantemente parlato in passato sulle nostre pagine con diversi articoli sul tema Bring Your Own Vulnerable Driver (BYOVD).

Ricerche recenti condotte da ESET, hanno rivelato stretti legami tra vari gruppi ransomware: RansomHub, Medusa, BianLian e Play. Il collegamento tra loro era uno strumento specializzato per disattivare i sistemi di protezione: EDRKillShifter, sviluppato originariamente dai partecipanti a RansomHub. Ora viene utilizzato anche in attacchi da parte di altri gruppi, nonostante la natura chiusa dei loro modelli di distribuzione.

EDRKillShifter utilizza una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). La sua essenza sta nel fatto che gli aggressori installano un driver legittimo ma vulnerabile sui dispositivi infetti, attraverso il quale vengono disattivati ​​i mezzi di rilevamento e risposta alle minacce.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Ciò consente di eseguire il programma di crittografia senza il rischio di essere individuati dalle soluzioni antivirus e altre soluzioni di sicurezza.

Come hanno notato i ricercatori, gli autori di ransomware aggiornano raramente i loro programmi di crittografia per evitare bug che potrebbero danneggiare la loro reputazione. Pertanto, il software di sicurezza ha il tempo di imparare a rilevarli in modo efficace. In risposta a ciò, gli aggressori affiliati utilizzano sempre più spesso strumenti di disabilitazione della sicurezza per preparare il sistema al ransomware.

Di particolare interesse è il fatto che EDRKillShifter è stato creato appositamente per gli affiliati di RansomHub e ora viene utilizzato in attacchi per conto di Medusa, BianLian e Play. Inoltre, gli ultimi di due gruppi tradizionalmente non accettano nuovi membri e si affidano solo ad affiliati collaudati. Ciò indica una potenziale cooperazione tra membri di diversi gruppi criminali.

ESET suggerisce che alcuni membri dei gruppi RaaS chiusi, nonostante il loro isolamento interno, condividano gli strumenti con i concorrenti, compresi i nuovi arrivati. Questo comportamento è particolarmente atipico per coloro che solitamente si attengono a un set di strumenti di hacking collaudati.

I ricercatori ritengono che diversi attacchi recenti possano essere stati condotti dallo stesso attore, nome in codice QuadSwitcher. Secondo una serie di segnali, le sue azioni sono vicine ai metodi caratteristici del gruppo Play, il che potrebbe indicare una connessione diretta.

Inoltre, EDRKillShifter è stato utilizzato anche in attacchi per conto di un altro affiliato, CosmicBeetle, che lo ha utilizzato in almeno tre casi mentre agiva per conto di RansomHub e LockBit.

L’uso di queste tecniche BYOVD, soprattutto in ambienti aziendali, sta diventando sempre più comune. Nel 2024, il gruppo Embargo ho usato il programma MS4Killer per disattivare le soluzioni di sicurezza e più recentemente è stata individuata Medusa con il suo driver ABYSSWORKER , che svolgono funzioni simili.

Per impedire che tali strumenti vengano attivati, è necessario bloccare le azioni degli intrusi prima che ottengano i diritti di amministratore. Nei sistemi aziendali vale la pena attivare il riconoscimento delle applicazioni potenzialmente pericolose e monitorare l’installazione dei driver, soprattutto quelli con vulnerabilità note.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Articoli in evidenza

Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...

“Abbiamo ricevuto il tuo CV. Scrivimi su WhatsApp”: Il nuovo ed irresistibile Job Offer Scam

Una telefonata da un numero italiano. Una voce registrata che informa circa la ricezione del curriculm vitae e invita a salvare il numero e scrivere su WhatsApp per parlare di un’offerta di lav...

Bias Cognitivi: Il bug più pericoloso non è nel Software, ma nella nostra Mente!

In un’era dominata dalla tecnologia, dove ogni click, ogni dato, ogni interazione digitale è un potenziale campo di battaglia, la cybersecurity è lo scudo digitale, la fortezza immate...

Il Giallo dell’attacco ad Oracle Cloud continua tra CVE, handle sull’Internet Archive e Meme

La scorsa settimana, un threat actors di nome ‘rose87168’ ha affermato di aver violato i server Oracle Cloud e di aver iniziato a vendere i presunti dati di autenticazione e le password ...

Grave Zero-day rilevato in Chrome! Gli Hacker di stato stanno sfruttando questa falla critica

Recentemente Google ha rilasciato un urgente bug fix relativo ad una nuova vulnerabilità monitorata con il CVE-2025-2783. Si tratta di una grave falla di sicurezza su Chrome Browser che è st...