Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.
©

Embargo, nieuwe ransomware, schakelt beveiligingsoplossingen uit,aldus ESET

23 oktober 20243 minuten leestijdSecurity & AwarenessKey Communications

• Nieuwe ransomwaregroep Embargo ontwikkelt en test Rust-gebaseerde tools.
• Embargo kan beveiligingsoplossingen uitschakelen op het toestel van het slachtoffer.
• Embargo stemt zijn tools af op de omgeving van elk slachtoffer.

23 oktober 2024 — ESET Research heeft een nieuwe tooling ontdekt die leidt tot het uitrollen van de Embargo-ransomware. Embargo is een relatief nieuwe groep die voor eerst in juni 2024 door ESET  werd waargenomen. De nieuwe toolkit bestaat uit een loader en een ‘endpoint detection and response killer’ (EDR), die ESET respectievelijk MDeployer en MS4Killer noemde. De malware misbruikt de veilige modus en een kwetsbare driver om de beveiligingsproducten uit te schakelen die op het toestel van het slachtoffer draaien. Beide tools zijn geschreven in Rust, de taal die de Embargo-groep gebruikt voor het ontwikkelen van zijn ransomware.

Op basis van zijn modus operandi lijkt Embargo een groep met veel middelen te zijn. Het zet een eigen infrastructuur op om met slachtoffers te communiceren. Bovendien zet de groep slachtoffers onder druk om te betalen door middel van een dubbele afpersing: de operatoren exfiltreren de gevoelige gegevens van slachtoffers en dreigen ze te publiceren op een lek-site en ze ook te versleutelen. In een interview met een zogezegd groepslid sprak een vertegenwoordiger van Embargo over een uitbetalingsschema voor partners, wat suggereert dat de groep RaaS (ransomware as a service) levert. “Door de sofisticatie van de groep, het bestaan van een typische lek-site en de beweringen van de groep, denken we dat Embargo inderdaad opereert als een RaaS-provider”, zegt Jan Holman, de ESET-onderzoeker die met collega Tomáš Zvara de dreiging analyseerde.

Verschillen in geïmplementeerde versies, bugs en overgebleven artefacten suggereren dat deze tools nog volop in ontwikkeling zijn. Embargo werkt ook nog aan de opbouw van zijn merk om zich als een prominente ransomware-operator te vestigen. 

Het ontwikkelen van aangepaste loaders en EDR-verwijderingstools is een veelgebruikte techniek van andere ransomware-groepen. Al werden MDeployer en MS4Killer tot dusver altijd samen ingezet, zijn er zijn nog meer connecties tussen hen. De sterke banden tussen de tools suggereren dat beide door dezelfde dreigingsactor ontwikkeld werden. De actieve ontwikkeling van de toolkit wijst er op dat de dreigingsactor bedreven is in Rust.

Met MDeployer misbruikt Embargo de veilige modus om beveiligingsoplossingen uit te schakelen. MS4Killer is een typische tool voor verdedigingsontwijking die beveiligingsproductprocessen beëindigt met de hulp van de techniek “Bring Your Own Vulnerable Driver” (BYOVD). Bij deze techniek misbruikt de bedrieger kwetsbare kernel-drivers om code-uitvoering op kernel-niveau te bereiken. Ransomware-partners gebruiken vaak BYOVD-tooling in hun compromisketen voor de manipulatie van beveiligingsoplossingen die de aangevallen infrastructuur beschermen. Na het uitschakelen van de beveiligingssoftware kunnen partners de ransomware-payload uitvoeren zonder zich zorgen te maken of hun payload al dan niet gedetecteerd wordt.

Het hoofddoel van de Embargo-toolkit is de succesvolle implementatie van de ransomware-payload door de beveiligingsoplossing in de infrastructuur van het slachtoffer uit te schakelen. Embargo steekt daar veel moeite in, door dezelfde functionaliteit tijdens verschillende fasen van de aanval te repliceren. “We hebben ook het vermogen van de aanvallers waargenomen om tijdens een actieve inbraak, hun tools onmiddellijk aan te passen aan een specifieke beveiligingsoplossing”, voegt ESET-onderzoeker Tomáš Zvara toe.

Raadpleeg voor een meer gedetailleerde en een technische analyse van Embargo’s tools, de nieuwste ESET Research blog “Embargo ransomware: Rock’n’Rust” op www.welivesecurity.com

Volg ook ESET Research on Twitter (today known as X) voor het laatste nieuws over ESET Research.

 

Meer lezen

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Meer lezen

    ActueelInnovatie & Transformatie

    Kort: TU/e lanceert nieuw high-tech-onderzoeksinstituut, veel minder cyberincidenten in Nederland (en meer)

    ActueelOverheid

    KPN en Thales bouwen soevereine cloud voor Defensie

    ActueelSoftware & Development

    Kort: Elastique op Sri Lankaans avontuur, Panasonic helpt The AA, Main koopt Carwise-duo (en meer)

    OpinieSecurity & Awareness

    Kan ai einde maken aan tekort aan vaardigheden in soc?

    ActueelOverheid

    Vertraging bij implementatie NIS2 loopt enorm op

    Nationale Politie
    ActueelOverheid

    Politie tijdens NAVO-top beter voorbereid op uitval van C2000

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs