Embargo, nieuwe ransomware-groep, schakelt beveiligingsoplossingen uit, ontdekt door ESET
Op basis van zijn modus operandi lijkt Embargo een groep met veel middelen te zijn. Het zet een eigen infrastructuur op om met slachtoffers te communiceren. Bovendien zet de groep slachtoffers onder druk om te betalen door middel van een dubbele afpersing: de operatoren exfiltreren de gevoelige gegevens van slachtoffers en dreigen ze te publiceren op een lek-site en ze ook te versleutelen. In een interview met een zogezegd groepslid sprak een vertegenwoordiger van Embargo over een uitbetalingsschema voor partners, wat suggereert dat de groep RaaS (ransomware as a service) levert. “Door de sofisticatie van de groep, het bestaan van een typische lek-site en de beweringen van de groep, denken we dat Embargo inderdaad opereert als een RaaS-provider”, zegt Jan Holman, de ESET-onderzoeker die met collega Tomáš Zvara de dreiging analyseerde.
Verschillen in geïmplementeerde versies, bugs en overgebleven artefacten suggereren dat deze tools nog volop in ontwikkeling zijn. Embargo werkt ook nog aan de opbouw van zijn merk om zich als een prominente ransomware-operator te vestigen.
Het ontwikkelen van aangepaste loaders en EDR-verwijderingstools is een veelgebruikte techniek van andere ransomware-groepen. Al werden MDeployer en MS4Killer tot dusver altijd samen ingezet, zijn er zijn nog meer connecties tussen hen. De sterke banden tussen de tools suggereren dat beide door dezelfde dreigingsactor ontwikkeld werden. De actieve ontwikkeling van de toolkit wijst er op dat de dreigingsactor bedreven is in Rust.
Met MDeployer misbruikt Embargo de veilige modus om beveiligingsoplossingen uit te schakelen. MS4Killer is een typische tool voor verdedigingsontwijking die beveiligingsproductprocessen beëindigt met de hulp van de techniek “Bring Your Own Vulnerable Driver” (BYOVD). Bij deze techniek misbruikt de bedrieger kwetsbare kernel-drivers om code-uitvoering op kernel-niveau te bereiken. Ransomware-partners gebruiken vaak BYOVD-tooling in hun compromisketen voor de manipulatie van beveiligingsoplossingen die de aangevallen infrastructuur beschermen. Na het uitschakelen van de beveiligingssoftware kunnen partners de ransomware-payload uitvoeren zonder zich zorgen te maken of hun payload al dan niet gedetecteerd wordt.
Het hoofddoel van de Embargo-toolkit is de succesvolle implementatie van de ransomware-payload door de beveiligingsoplossing in de infrastructuur van het slachtoffer uit te schakelen. Embargo steekt daar veel moeite in, door dezelfde functionaliteit tijdens verschillende fasen van de aanval te repliceren. “We hebben ook het vermogen van de aanvallers waargenomen om tijdens een actieve inbraak, hun tools onmiddellijk aan te passen aan een specifieke beveiligingsoplossing”, voegt ESET-onderzoeker Tomáš Zvara toe.
Raadpleeg voor een meer gedetailleerde en een technische analyse van Embargo’s tools, de nieuwste ESET Research blog “Embargo ransomware: Rock’n’Rust” op www.welivesecurity.com
Volg ook ESET Research on Twitter (today known as X) voor het laatste nieuws over ESET Research.
Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.
