Elastic Security Labs, de onderzoeksafdeling van Search AI-bedrijf Elastic, heeft een financieel-gedreven campagne ontdekt waarbij MEDUSA ransomware wordt verspreid via een kwaadaardig stuurprogramma (ABYSSWORKER genoemd). Het stuurprogramma wordt geïnstalleerd op de machine van het slachtoffer om vervolgens beveiligingssystemen uit te schakelen en detectie of preventie te omzeilen.
Cybercriminelen gebruiken steeds vaker hun eigen stuurprogramma's, door misbruik te maken van een kwetsbaar legitiem stuurprogramma of door een zelfgemaakt stuurprogramma te gebruiken om EDR-systemen (Endpoint Detection and Response) uit te schakelen en detectie of preventie te omzeilen. Deze loader werd ingezet naast een ingetrokken, certificaat-ondertekend stuurprogramma van een Chinese leverancier die we ABYSSWORKER noemen. Dit stuurprogramma wordt geïnstalleerd op de machine van het slachtoffer en wordt vervolgens gebruikt om verschillende EDR-leveranciers aan te vallen en uit te schakelen. Omdat de malware “ondertekend” is, wordt het door veel beveiligingssystemen beschouwd als een vertrouwd bestand, waardoor deze zonder verificatie het systeem passeert. Het ‘EDR-killer’ stuurprogramma werd voor het eerst gerapporteerd door Mandiant in 2022 in een andere campagne, waarbij een ander certificaat en IO-controlecodes werden gebruikt en een aantal mogelijke opties van het programma werden besproken.
De telemetrie van Elastic geeft aan dat ABYSSWORKER is gebruikt in gerichte ransomware-operaties. De geavanceerde aard ervan suggereert betrokkenheid van een goed toegeruste dreigingsactor. De modulaire structuur, het gebruik van meerdere lagen van verduistering en de focus op het ontwijken van verdediging laten de toenemende complexiteit van moderne ransomware-ecosystemen zien.