• Nieuwe ransomwaregroep Embargo ontwikkelt en test Rust-gebaseerde tools.
• Embargo kan beveiligingsoplossingen uitschakelen op het toestel van het slachtoffer.
• Embargo stemt zijn tools af op de omgeving van elk slachtoffer.
23 oktober 2024 — ESET Research heeft een nieuwe tooling ontdekt die leidt tot het uitrollen van de Embargo-ransomware. Embargo is een relatief nieuwe groep die voor eerst in juni 2024 door ESET werd waargenomen. De nieuwe toolkit bestaat uit een loader en een ‘endpoint detection and response killer’ (EDR), die ESET respectievelijk MDeployer en MS4Killer noemde. De malware misbruikt de veilige modus en een kwetsbare driver om de beveiligingsproducten uit te schakelen die op het toestel van het slachtoffer draaien. Beide tools zijn geschreven in Rust, de taal die de Embargo-groep gebruikt voor het ontwikkelen van zijn ransomware.
Op basis van zijn modus operandi lijkt Embargo een groep met veel middelen te zijn. Het zet een eigen infrastructuur op om met slachtoffers te communiceren. Bovendien zet de groep slachtoffers onder druk om te betalen door middel van een dubbele afpersing: de operatoren exfiltreren de gevoelige gegevens van slachtoffers en dreigen ze te publiceren op een lek-site en ze ook te versleutelen. In een interview met een zogezegd groepslid sprak een vertegenwoordiger van Embargo over een uitbetalingsschema voor partners, wat suggereert dat de groep RaaS (ransomware as a service) levert. “Door de sofisticatie van de groep, het bestaan van een typische lek-site en de beweringen van de groep, denken we dat Embargo inderdaad opereert als een RaaS-provider”, zegt Jan Holman, de ESET-onderzoeker die met collega Tomáš Zvara de dreiging analyseerde.
Verschillen in geïmplementeerde versies, bugs en overgebleven artefacten suggereren dat deze tools nog volop in ontwikkeling zijn. Embargo werkt ook nog aan de opbouw van zijn merk om zich als een prominente ransomware-operator te vestigen.
Het ontwikkelen van aangepaste loaders en EDR-verwijderingstools is een veelgebruikte techniek van andere ransomware-groepen. Al werden MDeployer en MS4Killer tot dusver altijd samen ingezet, zijn er zijn nog meer connecties tussen hen. De sterke banden tussen de tools suggereren dat beide door dezelfde dreigingsactor ontwikkeld werden. De actieve ontwikkeling van de toolkit wijst er op dat de dreigingsactor bedreven is in Rust.
Met MDeployer misbruikt Embargo de veilige modus om beveiligingsoplossingen uit te schakelen. MS4Killer is een typische tool voor verdedigingsontwijking die beveiligingsproductprocessen beëindigt met de hulp van de techniek “Bring Your Own Vulnerable Driver” (BYOVD). Bij deze techniek misbruikt de bedrieger kwetsbare kernel-drivers om code-uitvoering op kernel-niveau te bereiken. Ransomware-partners gebruiken vaak BYOVD-tooling in hun compromisketen voor de manipulatie van beveiligingsoplossingen die de aangevallen infrastructuur beschermen. Na het uitschakelen van de beveiligingssoftware kunnen partners de ransomware-payload uitvoeren zonder zich zorgen te maken of hun payload al dan niet gedetecteerd wordt.
Het hoofddoel van de Embargo-toolkit is de succesvolle implementatie van de ransomware-payload door de beveiligingsoplossing in de infrastructuur van het slachtoffer uit te schakelen. Embargo steekt daar veel moeite in, door dezelfde functionaliteit tijdens verschillende fasen van de aanval te repliceren. “We hebben ook het vermogen van de aanvallers waargenomen om tijdens een actieve inbraak, hun tools onmiddellijk aan te passen aan een specifieke beveiligingsoplossing”, voegt ESET-onderzoeker Tomáš Zvara toe.
Raadpleeg voor een meer gedetailleerde en een technische analyse van Embargo’s tools, de nieuwste ESET Research blog “Embargo ransomware: Rock’n’Rust” op www.welivesecurity.com
Volg ook ESET Research on Twitter (today known as X) voor het laatste nieuws over ESET Research.
Read more