L’outil est fourni par le Ransomware as a Service (RaaS) RansomHub à ses affiliés afin d’augmenter leurs chances de réussite et ainsi reverser plus de commissions.

Après LockBit et BlackCat, vient RansomHub ? En analysant le RaaS RansomHub, ESET Research a constaté que ce groupe devenait prépondérant dans la fourniture de logiciels malveillants de chiffrement à des affiliés.

ESET a ainsi décrit EDRKillShifter, un outil développé par RansomHub, utilisé pour contourner les EDR (détection et réponse des terminaux) en exploitant des pilotes vulnérables.

Une méthode atypique

« Contrairement aux pratiques habituelles où les affiliés doivent trouver leurs propres moyens d’échapper aux outils de détection, RansomHub fournit directement cet outil à ses partenaires. Les chercheurs d’ESET ont constaté une augmentation significative de l’utilisation d’EDRKillShifter, même en dehors des attaques de RansomHub », explique Jakub Souček, chercheur chez ESET.

Fournir ce logiciel malveillant est vu par ESET comme un moyen, pour le groupe, d’augmenter les chances de réussite de ses affiliés, lui qui touche une commission de 10 % sur les rançons reversées à ces derniers. Le groupe de recherche d’ESET a en outre mis en lumière les liens entre les affiliés de RansomHub et d’autres groupes, comme Play, Medusa et BianLian.