ESET a décrit la méthode employée par « Embargo », un nouveau groupe de ransomware-as-a-service qui utilise des outils personnalisés afin de neutraliser les EDR exécutés sur les machines, pour ensuite déployer son rançongiciel.
Du ransomware sur-mesure. ESET a décrit les procédés du groupe de ransomware Embargo, qui teste et développe des outils écrits en Rust, MDeployer et MS4Killer, afin de désactiver les EDR exécutés sur des ordinateurs, laissant ainsi le champ libre au ransomware.
Ces outils sont personnalisés afin de s’adapter aux environnements spécifiques propres à chaque victime. « En nous basant sur la manière dont les outils sont modifiés pendant les intrusions et la proximité des horodatages de compilation avec les moments des intrusions, nous supposons que l'attaquant déployant les outils a la capacité de modifier rapidement le code source et de recompiler ses outils durant une intrusion », écrivent également les chercheurs dans leur étude.
Dev in progress
Comme il est courant aujourd’hui dans le monde des ransomwares, Embargo recourt à la double extorsion, en exfiltrant et en chiffrant les données sensibles de ses victimes, puis en menaçant de les publier sur un site.
Le groupe fonctionne également comme un ransomware-as-a-service (RaaS) et loue ses outils à des affiliés. « Embargo fonctionne probablement comme un fournisseur RaaS, compte tenu de sa sophistication et de l'existence d'un site de fuite typique », a indiqué Jan Holman, chercheur chez ESET, cité dans un communiqué.
Des bugs et artefacts résiduels découverts dans les nombreuses versions déployées des outils suggèrent que le groupe est relativement nouveau et en phase de développement actif, selon ESET. Les pirates aux manettes cherchent encore à se faire une place dans le domaine du ransomware.