1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ランサムウェアとサイバー攻撃に潜む EDR 回避ツール「EDRKillShifter」の脅威

ランサムウェアとサイバー攻撃に潜む EDR 回避ツール「EDRKillShifter」の脅威

セキュリティニュース

投稿日時: 更新日時:

ランサムウェアとサイバー攻撃に潜む EDR 回避ツール「EDRKillShifter」の脅威

2024年、ランサムウェアの勢力図は大きく塗り替えられました。LockBitやBlackCatといった巨大グループの失速と入れ替わるように台頭したのが、新興のRaaS(Ransomware-as-a-Service)グループ「RansomHub」です。本記事では、ESETの調査に基づき、RansomHubが提供する独自のEDR を回避するツール「EDRKillShifter」と、その利用を通じて見えてきたMedusa、Play、BianLianといった他のランサムウェアグループとのつながりについて解説します。

RansomHub(ランサム・ハブ)とは

RansomHubは2024年2月に活動を開始したばかりのRaaSグループです。初期の被害報告は少数でしたが、4月にはLockBitを上回る被害報告数を記録し、現在では最も活発なランサムウェアグループの一つに数えられています。

活発に行動できた理由としては、LockBitとBlackCatがテイクダウンされた事とサイバー攻撃を実行する「アフィリエイト」の報酬を身代金の90%にし、さらに身代金の支払いを直接アフィリエイトのウォレットへ直接受け取れる事により活発化しました。

さらにRaaSグループとしてWindows・Linux・ESXiに対応する暗号化ツールの提供し、2024年5月には独自のEDR回避ツール「EDRKillShifter」を導入し、さらに注目を集めました。

RansomHub は世界的に有名な企業へサイバー攻撃を行っており同グループのランサムウェア 事例としては、サイゼリヤ ヨロズ、やNTTデータの欧州拠点(ルーマニア)への不正アクセスカワサキモータースヨーロッパ、アメリカの石油関連サービスを提供するハリバートン(Halliburton)へのサイバー攻撃にも関与しているとされています。

EDRKillShifter:EDRを無力化する攻撃者向けツール

EDRは幅広く利用されているエンドポイントセキュリティ対策製品であり、サイバー攻撃者はこのEDRを回避する為に様々な手法を考えます。

EDRKillShifterはSophosによって命名された、エンドポイントのセキュリティ対策(EDR)を無力化するために開発されたツールで、以下の特徴を持ちます

  • 64文字のパスワードで保護されており、未認証では解析が困難
  • 脆弱なドライバを悪用してEDRプロセスを強制終了(BYOVD)
  • 暗号化ツール(encryptor)と同じく、RansomHubのRaaS Webパネルから提供

EDRを回避するツールは様々存在しますが、注目すべき他のツールとの違いはコード保護にあります。

パスワードは、EDR回避ツール実行の中間層として機能するシェルコードを保護します。パスワードがなければ、セキュリティ研究者は、ターゲットのプロセス名のリストも、悪用された脆弱なドライバーも取得できません。

このツールにより、攻撃者はセキュリティ製品の検出を回避した上で、被害企業のネットワークへ侵入・暗号化を行うことが可能になります。

RansomHubのライバルグループがEDR回避ツールを利用

ESETの分析により、RansomHubのEDRKillShifterが他の3つのランサムウェアグループ(Medusa、Play、BianLian)でも使用されていたことが判明しました。

この重複利用から複数のグループを跨いで活動する「共通のアフィリエイト(通称:QuadSwitcher)」の存在が浮かび上がったとしています。

これらのMedusa、Play、BianLianなどのランサムウェアグループは、クローズド RaaS モデル (積極的に新規メンバーを募集せず、長期的な相互信頼に基づくパートナーシップ) を採用しており他のグループと提携する事は稀で、EDRKillShifterのような強力なツールが登場したことで、実力あるアフィリエイトが複数グループにまたがって活動するケースが顕在化したと考えられます。

EDR回避ツールのトレンド:増える脅威と防御策

近年、EDR回避ツールはランサムウェア攻撃の標準装備になりつつあります。EDRKillShifter以外にも、以下のようなツールや傾向が観測されています:

  • BadRentdrv2:脆弱ドライバ rentdrv2.sys を悪用したEDR回避ツール
  • TFSysMon-Killer:Rust製PoCから派生したC++実装のEDR回避ツール
  • EmbargoグループのMS4Killer:独自開発されたEDR回避ツール
  • GMERやPC Hunterのような正規ツールの悪用

多くの攻撃者が、これらのコードをPoCレベルで手に入れ、そのまま悪用するケースが増加しています。特に、経験の浅いアフィリエイトがログを大量に残してしまう傾向にあり、セキュリティ研究者がその痕跡を追いやすくなっています。

EDR回避ツール対策のポイント

  • 脆弱なドライバのインストールを防ぐセキュリティ設定を有効化
  • パッチ管理を徹底し、既存のドライバの脆弱性を放置しない
  • 管理者権限の取得を許さない設計と、権限昇格の監視

参考:RansomHub ランサムノートの例

We are the RansomHub.

Your company Servers are locked and Data has been taken to our servers. This is serious. 

Good news:
- your server system and data will be restored by our Decryption Tool, we support trial decryption to prove that your files can be decrypted;
- for now, your data is secured and safely stored on our server;
- nobody in the world is aware about the data leak from your company except you and RansomHub team;
- we provide free trial decryption for files smaller than 1MB. If anyone claims they can decrypt our files, you can ask them to try to decrypt a file larger than 1MB.

FAQs:
Who we are?
- Normal Browser Links: https://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion.ly/
- Tor Browser Links: http://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion/

Want to go to authorities for protection?
- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined <This will be a huge amount,Read more about the GDRP legislation:https://en.wikipedia.org/wiki/General_Data_Protection_Regulation>,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

Think you can handle it without us by decrypting your servers and data using some IT Solution from third-party "specialists"?
- they will only make significant damage to all of your data; every encrypted file will be corrupted forever. Only our Decryption Tool will make decryption guaranteed;  

Don't go to recovery companies, they are essentially just middlemen who will make money off you and cheat you. 
- We are well aware of cases where recovery companies tell you that the ransom price is 5 million dollars, but in fact they secretly negotiate with us for 1 million dollars, so they earn 4 million dollars from you. If you approached us directly without intermediaries you would pay 5 times less, that is 1 million dollars.

Think your partner IT Recovery Company will do files restoration? 
- no they will not do restoration, only take 3-4 weeks for nothing; besides all of your data is on our servers and we can publish it at any time; 
  as well as send the info about the data breach from your company servers to your key partners and clients, competitors, media and youtubers, etc. 
  Those actions from our side towards your company will have irreversible negative consequences for your business reputation.

You don't care in any case, because you just don't want to pay? 
- We will make you business stop forever by using all of our experience to make your partners, clients, employees and whoever cooperates with your company change their minds by having no choice but to stay away from your company. 
  As a result, in midterm you will have to close your business. 


So lets get straight to the point.

What do we offer in exchange on your payment:
- decryption and restoration of all your systems and data within 24 hours with guarantee;
- never inform anyone about the data breach out from your company;
- after data decryption and system restoration, we will delete all of your data from our servers forever;
- provide valuable advising on your company IT protection so no one can attack your again.```

Now, in order to start negotiations, you need to do the following: 
- install and run 'Tor Browser' from https://www.torproject.org/download/
- use 'Tor Browser' open http://ubfofxonwdb32wpcmgmcpfos5tdskfizdft6j54l76x3nrwu2idaigid.onion/
- enter your Client ID: [REDACTED]
* do not leak your ID or you will be banned and will never be able to decrypt your files.

There will be no bad news for your company after successful negotiations for both sides. But there will be plenty of those bad news if case of failed negotiations, so don't think about how to avoid it.
Just focus on negotiations, payment and decryption to make all of your problems solved by our specialists within 1 day after payment received: servers and data restored, everything will work good as new.

***********************************************

参照

Shifting the sands of RansomHub’s EDRKillShifter

 

 

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 株式会社イセトーがランサムウェア感染と被害を発表イセトーのサイバー攻撃とランサムウェア 感染、情報漏えいのまとめ ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 DDoS攻撃とは?攻撃事例や防御策を解説DDoS攻撃とは?攻撃事例や防御策を解説 Default ThumbnailBtoBの展示会で利用できるイベントコンパニオン事務所のご紹介