ESET Research: scoperto un toolkit utilizzato dal gruppo ransomware Embargo che disabilita le soluzioni di sicurezza

I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno individuato nuovi strumenti che portano all’installazione del ransomware del gruppo Embargo. Si tratta di un gruppo relativamente nuovo nel campo dei ransomware, è stato infatti osservato per la prima volta da ESET nel giugno 2024. Il nuovo toolkit è composto da un loader e da uno strumento per la disattivazione delle soluzioni di endpoint detection and response (EDR), denominati rispettivamente MDeployer e MS4Killer. Quest’ultimo è particolarmente significativo poiché viene compilato su misura per l’ambiente di ogni vittima, e va a colpire specifiche soluzioni di sicurezza. Il malware sfrutta la Modalità Provvisoria e un driver vulnerabile per disabilitare i prodotti di sicurezza presenti sul dispositivo della vittima. Entrambi sono scritti in Rust, il linguaggio scelto dal gruppo Embargo per lo sviluppo del proprio ransomware.

In base al modus operandi, Embargo appare essere un gruppo ben organizzato e dotato di risorse adeguate. Il gruppo crea una propria infrastruttura per comunicare con le vittime e utilizza la doppia estorsione come metodo di pressione: oltre a criptare i dati, gli operatori esfiltrano informazioni sensibili e minacciano di pubblicarle su un sito di leak. In un’intervista con un presunto membro del gruppo, un rappresentante di Embargo ha menzionato uno schema di pagamento base per gli affiliati, suggerendo che il gruppo offre un servizio di RaaS (ransomware as a service). “Data la sofisticazione del gruppo, l’esistenza di un sito per la pubblicazione dei leak e le dichiarazioni rilasciate, ipotizziamo che Embargo operi effettivamente come un provider di RaaS”, afferma Jan Holman, ricercatore di ESET che ha analizzato la minaccia insieme al collega Tomáš Zvara.

Le differenze nelle versioni distribuite, i bug e gli artefatti residui indicano che questi strumenti sono ancora in fase di sviluppo attivo. Embargo sta cercando di affermarsi come operatore di ransomware di primo piano.

Sviluppare loader personalizzati e strumenti di rimozione degli EDR è una tattica comune utilizzata da diversi gruppi di ransomware. Oltre al fatto che MDeployer e MS4Killer sono sempre stati rilevati insieme, esistono ulteriori connessioni tra loro. La stretta correlazione tra questi strumenti suggerisce che siano sviluppati dallo stesso attore di minacce e lo sviluppo attivo del toolkit indica che il gruppo ha una buona padronanza del linguaggio Rust.

Con MDeployer, Embargo sfrutta la Modalità Provvisoria per disabilitare le soluzioni di sicurezza. MS4Killer è uno strumento tipico di elusione delle difese che termina i processi dei prodotti di sicurezza utilizzando la tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). In questa tecnica, l’attaccante sfrutta driver kernel vulnerabili e firmati per ottenere l’esecuzione del codice a livello di kernel. Gli affiliati ai ransomware spesso integrano strumenti BYOVD nella loro procedura di compromissione per alterare le soluzioni di sicurezza che proteggono l’infrastruttura attaccata. Una volta disabilitati i software di sicurezza, gli affiliati possono eseguire il payload del ransomware senza preoccuparsi di essere rilevati.

Lo scopo principale del toolkit di Embargo è garantire il successo dell’installazione del ransomware disabilitando le soluzioni di sicurezza dell’infrastruttura della vittima. Il gruppo dedica molto impegno a questo aspetto, replicando la stessa funzionalità in diverse fasi dell’attacco. “Abbiamo anche osservato la capacità degli aggressori di adattare i propri strumenti in tempo reale, durante un’intrusione attiva, per affrontare una specifica soluzione di sicurezza”, aggiunge Tomáš Zvara, ricercatore di ESET.