تحلیل جدید، پیوندهایی بین شرکتهای وابسته گروه RansomHub و دیگر گروههای باجافزاری مانند Medusa، BianLian و Play کشف کرد.
بر اساس گفته ESET، این پیوند ناشی از استفاده از ابزار سفارشی است که برای غیرفعالسازی نرمافزارهای شناسایی و EDR بر روی میزبانهای آلوده طراحی شد. ابزار EDRKillShifter برای اولین بار در آگوست 2024 توسط نفوذگران RansomHub مورد استفاده قرار گرفت که از طریق تاکتیک شناخته شده BYOVD به هدف خود دست مییابد که شامل استفاده از درایور قانونی اما آسیبپذیر، برای متوقف کردن راهحلهای امنیتی محافظتکننده از نقاط پایانی است. ابزار سفارشی که توسط اپراتورهای RansomHub توسعه و به شرکتهای وابسته خود ارائه شد، در حملات دیگر باجافزاری مرتبط با Medusa، BianLian و Play نیز استفاده میشود که اهمیت ویژهای پیدا میکند، با توجه به اینکه Play و BianLian تحت مدل RaaS فعالیت میکنند که در آن اپراتورها به طور فعال به دنبال استخدام همکاران جدید نیستند و مشارکتهای آنها مبتنی بر اعتماد بلندمدت است. تمامی این حملات باجافزاری توسط عامل تهدیدی که QuadSwitcher نامیده میشود، انجام شدند که به دلیل شباهتهایی در روشهای حمله، احتمالاً به Play نزدیکترین ارتباط را دارد.
https://thehackernews.com/2025/03/hackers-repurpose-ransomhubs.html
https://www.welivesecurity.com/en/eset-research/shifting-sands-ransomhub-edrkillshifter/
