New Research Links RansomHub’s EDRKillShifter to Established Ransomware Gangs
Hackers Repurpose RansomHub's EDRKillShifter in Medusa, BianLian, and Play Attacks
- 위협 개요
- 신생 RaaS(서비스형 랜섬웨어) 그룹 RansomHub가 배포한 EDRKillShifter 도구가 Medusa, BianLian, Play 등 기존 랜섬웨어 조직에서도 재사용됨
- EDRKillShifter는 EDR(엔드포인트 탐지 대응) 솔루션을 우회하거나 종료하기 위한 맞춤형 킬러 도구로, 2024년 5월 처음 등장
- 도구 특성과 공격 기법
- BYOVD(취약한 드라이버 가져오기, Bring Your Own Vulnerable Driver) 기법을 사용하여 커널 모드에서 보안 솔루션을 종료
- 1,700개 이상의 알려진 취약 드라이버 중 반복적으로 사용되는 일부 드라이버에 의존
- EDR 우회 후 암호화 실행, 탐지 리스크 최소화
- 행위자 식별 및 연계 분석
- QuadSwitcher로 명명된 행위자가 EDRKillShifter를 RansomHub, Play, Medusa, BianLian 공격에 모두 활용
- 도구 사용의 유사성과 공격 트레이드크래프트 분석을 통해 Play 조직과 가장 밀접한 관계로 추정
- SHA-1 해시값 BF84712C5314DF2AA851B8D4356EA51A9AD50257, 77DAF77D9D2A08CC22981C004689B870F74544B5 샘플에서 동일 도구 활용 정황 확인
- RaaS 생태계 내 도구 공유 및 협업 구조
- 기존 폐쇄형 RaaS 모델(Play, BianLian)조차도 신규 그룹(RansomHub)의 도구를 수용하는 모습 포착
- 이는 도구 기반 협업, 즉 신뢰 기반이 아닌 유용성 중심의 상호작용으로 변화하고 있음을 시사
- RansomHub의 도구를 다른 공격자의 공격에도 전용 및 재사용, EDRKillShifter의 가치 상승
- 최신 유사 사례 및 위협 흐름
- CosmicBeetle이라는 또 다른 공격자도 해당 도구를 가짜 LockBit 공격에 활용
- Embargo 그룹은 MS4Killer라는 유사 도구를 사용하여 EDR 우회 시도
- Medusa 조직도 최근 ABYSSWORKER라는 커스텀 드라이버 사용 정황 확인됨
- 보안 권고
- EDR 우회 시도는 관리자 권한을 획득한 이후에 실행되므로 사전 탐지 및 차단 체계 중요
- 기업 환경에서는 다음 보안 조치 강화 필요
- 취약 드라이버 차단 정책 강화 (예: Microsoft의 HVCI 사용)
- 위험 애플리케이션 실행 탐지 활성화
- 행위 기반 탐지 및 머신러닝 기반 분석 도입
- RaaS 도구 및 암시장 트렌드 지속 모니터링
- 결론
- 랜섬웨어 생태계는 더 이상 고립된 개별 그룹이 아닌, 도구 중심의 상호 연결된 구조로 진화 중
- 특정 도구(Eg. EDRKillShifter)를 중심으로 다양한 조직이 협업·공유하는 공격 모델 확산
- 방어 측에서는 암호화 실행 전 단계(권한 상승, 보안 종료 시도 등)에 대한 탐지 전략을 강화해야 대응 가능
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 우리카드 개인정보 무단 활용 사건과 과징금 부과 분석 (1) | 2025.05.08 |
|---|---|
| HTTPS 인증서 산업의 새로운 보안 요건 도입: Chrome Root Program의 2025 변화 요약 (0) | 2025.05.08 |
| DeepSeek 사용자 노린 가짜 Google 광고 기반 악성코드 유포 캠페인 분석 (0) | 2025.05.08 |
| Vroom by YouX, AWS S3 설정 오류로 2.7만 건 개인정보 유출 (0) | 2025.05.08 |
| PlayBoy LOCKER 랜섬웨어, Windows-NAS-ESXi 시스템 동시 타깃 (0) | 2025.05.08 |