ESET Research ontdekt nieuwe ransomware groep Embargo
ESET-onderzoekers hebben nieuwe tools ontdekt die leiden tot de inzet van Embargo ransomware. Embargo is een relatief nieuwe groep in de ransomware-scene, voor het eerst waargenomen door ESET in juni 2024. De nieuwe toolkit bestaat uit een loader en een endpoint detection and response killer (EDR), die ESET respectievelijk MDeployer en MS4Killer heeft genoemd. MS4Killer is vooral opmerkelijk omdat het op maat is gemaakt voor de omgeving van elk slachtoffer en alleen gericht is op geselecteerde beveiligingsoplossingen. De malware maakt misbruik van de 'Safe Mode' en een kwetsbaar stuurprogramma om de beveiligingsproducten op de endpoints van het slachtoffer uit te schakelen. Beide tools zijn in 'Rust' geschreven, de voorkeurstaal van de Embargo-groep voor het ontwikkelen van zijn ransomware
Gebaseerd op de werkwijze lijkt Embargo een groep te zijn die over veel middelen beschikt. De groep zet zijn eigen infrastructuur op om met slachtoffers te communiceren. Bovendien zet de groep slachtoffers onder druk om te betalen door gebruik te maken van dubbele afpersing: de operators exfiltreren gevoelige gegevens van slachtoffers en dreigen deze te publiceren op een website waar ze uitlekken, naast het versleutelen ervan. In een interview met een vermeend lid van de groep noemde een vertegenwoordiger van Embargo een basis uitbetalingsschema voor filialen, wat suggereert dat de groep RaaS (ransomware as a service) aanbiedt. “Gezien de geavanceerdheid van de groep, het bestaan van een typische leksite en de beweringen van de groep, nemen we aan dat Embargo inderdaad als een RaaS-aanbieder opereert”, zegt ESET-onderzoeker Jan Holman, die de dreiging samen met collega-onderzoeker Tomáš Zvara analyseerde.
Verschillen in geïmplementeerde versies, bugs en achtergelaten objecten suggereren dat deze tools actief worden ontwikkeld. Embargo is nog steeds bezig zijn merk op te bouwen en zich te vestigen als een prominente ransomware-exploitant.
Het ontwikkelen van aangepaste loaders en EDR-verwijderingstools is een veelgebruikte tactiek door meerdere ransomwaregroepen. Naast het feit dat MDeployer en MS4Killer altijd samen werden ingezet, zijn er nog meer verbanden tussen beide. De sterke banden tussen de tools suggereren dat beide zijn ontwikkeld door dezelfde dreigingsactor en de actieve ontwikkeling van de toolkit suggereert dat de dreigingsactor bekwaam is in 'Rust'.
Safe Mode
Met MDeployer misbruikt de Embargo-dreigingsactor de 'Safe Mode' om beveiligingsoplossingen uit te schakelen. MS4Killer is een typische verdedigingsontwijkingstool die processen van beveiligingsproducten beëindigt met behulp van de techniek die bekend staat als Bring Your Own Vulnerable Driver (BYOVD). Bij deze techniek misbruikt de dreigende actor ondertekende, kwetsbare stuurprogramma's om code op kernelniveau uit te voeren. Ransomware-partners nemen vaak BYOVD-tooling op in hun compromisketen om te manipuleren met beveiligingsoplossingen die de aangevallen infrastructuur beschermen. Na het uitschakelen van de beveiligingssoftware kunnen filialen de ransomware payload uitvoeren zonder zich zorgen te maken of hun payload wordt gedetecteerd.
Het belangrijkste doel van de Embargo toolkit is om de succesvolle inzet van de ransomware payload te garanderen door de beveiligingsoplossing in de infrastructuur van het slachtoffer uit te schakelen. Embargo doet daar veel moeite voor en herhaalt dezelfde functionaliteit in verschillende stadia van de aanval. “We hebben ook het vermogen van de aanvallers waargenomen om hun tools on the fly aan te passen, tijdens een actieve inbraak, voor een bepaalde beveiligingsoplossing,” voegt ESET-onderzoeker Tomáš Zvara toe.
Voor een meer gedetailleerde analyse en technische uitsplitsing van Embargo's tools, bekijk dan de laatste ESET Research blogpost “Embargo ransomware: Rock'n'Rust” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op X voor het laatste nieuws.
