ב-ESET חשפו: גידול במגמת כופרות כשירות והעמקת הקשרים בין הקבוצות

בניגוד לדיווחים לפיהם חלה ירידה בהיקף מתקפות הכופרה, מסתבר שהן לא הולכות לאף מקום, הן פה כדי להישאר, והמגמה מתפתחת. חוקרי ESET פרסמו ניתוח על כנופיית כופרות הסחיטה RansomHub' שפועלת במודל כופרה כשירות, Ransomware-as-a-Service. הם גם חשפו קשרים בין כמה כנופיות, מהמסוכנות מהעולם: Medusa, Play ו-BianLian. עוד הם הפנו את המבט על כלי להשבתת מערכות הגנה מתקדמות.

לפי המחקר, המאבק בכופרות הגיע לשתי אבני דרך ב-2024: LockBit ו-BlackCat, שתי הקבוצות המובילות – יצאו מהמשחק. בראשונה מאז 2022, נרשמה ירידה דרמטית של 35% בתשלומי כופר שדווחו. מנגד, היקף הקורבנות שפורסמו באתרים ייעודיים להדלפות, עלה ב-15%. חלק ניכר מהעלייה הזו מיוחס ל-RansomHub, קבוצת כופרה כשירות חדשה, שהופיעה בסמוך למבצע האכיפה Cronos, שפגע בפעילות של LockBit.

RansomHub emerged in February 2024 and in just three months reached the top of the ransomware ladder, recruiting affiliates from disrupted #LockBit and #BlackCat. Since then, it dominated the ransomware world, showing similar growth as LockBit once did. 2/7 pic.twitter.com/rBuQP8OTdr

— ESET Research (@ESETresearch) March 26, 2025

מסתבר שיש אמון בין ההאקרים

לדברי יאקוב סוצ'ק, חוקר ESET שעקב אחר פעילות RansomHub, "ככל קבוצת כופרה כשירות חדשה, גם זו נדרשה למשוך אליה שותפים, אלה שמשכירים שירותי כופרה מהמפעילים. ככל שיש יותר שותפים, כך הכוח גדל, והמפעילים לא הקפידו יותר מדי בבחירה. הפרסום הראשוני של הקבוצה עלה בתחילת פברואר 2024 – שמונה ימים בלבד לפני שפורסמו הקורבנות הראשונים, בפורום ברוסית בשם RAMP".

RansomHub אוסרת על תקיפות במדינות ברית המועצות לשעבר – וכן בקובה, צפון קוריאה ובסין. באופן מעניין, אחת הדרכים בהן הקבוצה משכה שותפים, היא הבטחה לא שגרתית: השותפים יקבלו 100% מתשלום הכופר ישירות לארנק הדיגיטלי שלהם, והמפעילים סומכים עליהם שיחזירו 10% מהמימון. לפי החוקרים, מדובר בגישה יוצאת דופן בעולם הכופרה כשירות.

במאי 2024, מפעילי RansomHub ביצעו עדכון משמעותי: הם הציגו כלי EDR Killer פרי פיתוחם – סוג נוזקה שתפקידה להשבית, לעוור ולגרום לקריסת מערכות ההגנה שמותקנות על מחשב הקורבן, לרוב באמצעות ניצול דרייבר פגיע.

RansomHub's rise and the deployment of EDRKillShifter highlight the evolving ransomware landscape. Understanding these developments is crucial for enhancing cybersecurity defenses. #RansomHub #EDRKillShifter #Cybersecurity https://t.co/QWumoIP9NQ pic.twitter.com/CnaNV5INtR

— The Daily Tech Feed (@dailytechonx) March 29, 2025

עלייה חדה בשימוש ב-EDRKillShifter

הכלי, EDRKillShifter, משמש כנוזקה מותאמת אישית, שפותחה ומתוחזקת על ידי חברי RansomHub, ומוצע לשימוש שותפי הקבוצה. לפי החוקרים של ESET, "מדובר בכלי טיפוסי מסוגו, שתוקף מגוון רחב של פתרונות אבטחה – כאלה שהמפעילים מצפים לפגוש ברשתות אליהן הם מנסים לחדור".

"ההחלטה לשלב כלי לנטרול מערכות אבטחה (killer) ולהציע אותו לשותפים כחלק ממודל ה-RaaS – היא יוצאת דופן", ציין סוצ'ק. "ברוב המקרים, השותפים נדרשים למצוא בעצמם דרכים לעקוף תוכנות אבטחה. חלקם עושים שימוש חוזר בכלים קיימים, בעוד אחרים, בעלי ידע טכני מתקדם יותר, משנים טקטיקות תקיפה מוכרות, או משתמשים ב-EDR killers שמוצעים כשירות ברשת האפלה".

חוקרי ESET זיהו עלייה חדה בשימוש ב-EDRKillShifter ולא רק באירועים הקשורים ל-RansomHub. הם הסבירו כי כלים מתקדמים, כמו EDR killers, מכילים שני רכיבים עיקריים: רכיב במצב משתמש (user mode), שאחראי על תיאום הפעולה של הקוד, ודרייבר לגיטימי אך פגיע (עם פרצה). תהליך ההפעלה לרוב פשוט למדי: קוד ה-killer מתקין את הדרייבר הפגיע – שבדרך כלל כבר מוטמע בתוך הנתונים או המשאבים של הכלי – עובר על רשימה של שמות תהליכים של תוכנות אבטחה, ושולח פקודה לדרייבר הפגיע. הפקודה מנצלת את הפרצה ומביאה לסיום (killing) של התהליך ממעמקי גרעין הליבה (kernel mode).

"זהו אתגר אמיתי", אמר סוצ'ק, "כדי להפעיל EDR killer התוקפים חייבים להיות בעלי הרשאות ניהול ברמת אדמין, ולכן רצוי לזהות ולנטרל אותם לפני שהם מגיעים לשלב זה".

כאמור, החוקרים גילו בנוסף כי שותפים של RansomHub פועלים גם עבור שלוש כנופיות יריבות: Play, Medusa ו-BianLian. הקשר בין RansomHub ל-Medusa אינו מפתיע במיוחד, שכן מקובל בעולם הכופרות ששותפים עובדים עם כמה מפעילים במקביל. לעומת זאת, העובדה ש-Play ו-BianLian מחזיקות בגישה ל-EDRKillShifter מעוררת שאלות.

הסבר אפשרי אחד, בסבירות נמוכה, הוא ששלוש הקבוצות שכרו את שירותיו של אותו שותף מ-RansomHub. הסבר סביר יותר הוא שחברים מהימנים מ-Play ומ-BianLian משתפים פעולה עם יריבים, כולל קבוצות חדשות כמו RansomHub – ולאחר מכן ממחזרים את הכלים שקיבלו מהם לצורך תקיפות משלהם. קבוצת Play כבר נקשרה בעבר ל-Andariel, המזוהה עם צפון קוריאה.

"ברור, למרבה הצער, שקבוצת כופרה מתוחכמת חדשה, RansomHub, שהופיעה, השתמשה בטקטיקות הנכונות כדי למשוך שותפים (שרבים מהם עברו מ-BlackCat ו-LockBit) תוך תקופה קצרה, והצליחה לטפס במהירות לראש הסולם", ציינו החוקרים. "בעתיד הנראה לעין, RansomHub תנסה להיות בין כנופיות ה-RaaS הפעילות ביותר", סיכמו. "גם לאחר מבצע קורונוס, השותפים הצליחו להתארגן מחדש במהירות. אחרי הכל, יש להם תמריצים פיננסיים חזקים לחלץ נתונים רגישים מהמטרות שלהם".