I ricercatori di ESET hanno individuato nuovi strumenti impiegati dal gruppo Embargo, un’organizzazione criminale recentemente apparsa nel settore dei ransomware, per diffondere il loro malware. Questo gruppo, scoperto per la prima volta nel giugno 2024, utilizza un toolkit specifico per eludere le difese delle vittime, composto dal loader MDeployer e dallo strumento MS4Killer. Quest’ultimo è particolarmente sofisticato, essendo personalizzato per ogni ambiente specifico e progettato per disabilitare le soluzioni di sicurezza endpoint. Entrambi i tool sono sviluppati in Rust, il linguaggio scelto da Embargo per le sue attività di ransomware.

Il gruppo Embargo opera secondo uno schema di doppia estorsione, dove non solo cripta i dati delle vittime, ma esfiltra anche informazioni sensibili minacciando di pubblicarle su un sito di leak se il riscatto non viene pagato. Un presunto rappresentante del gruppo ha indicato un modello di affiliazione RaaS (ransomware-as-a-service), offrendo probabilmente servizi a terzi in cambio di una quota dei riscatti.

figure-3-mdeployer-execution-dia

MDeployer e MS4Killer vengono rilevati congiuntamente in ogni attacco, suggerendo che siano stati sviluppati dallo stesso attore di minacce. Embargo sfrutta la tecnica BYOVD (Bring Your Own Vulnerable Driver), usando driver vulnerabili e firmati per disabilitare le soluzioni di sicurezza delle vittime, permettendo al ransomware di agire indisturbato. La modalità provvisoria è un ulteriore stratagemma usato da MDeployer per aggirare le protezioni, disattivando i prodotti di sicurezza quando il sistema è in uno stato di protezione ridotta.

Secondo Jan Holman e Tomáš Zvara di ESET, Embargo è un gruppo sofisticato e ben organizzato. La presenza di un sito di leak e il modello RaaS rafforzano infatti l’ipotesi che il gruppo stia cercando di affermarsi come operatore rilevante nel panorama dei ransomware. Il toolkit, ancora in sviluppo, mostra una notevole padronanza del linguaggio Rust e viene aggiornato attivamente per rimanere efficace. I ricercatori hanno anche osservato che il gruppo Embargo è capace di adattare rapidamente i propri strumenti per contrastare specifiche difese, una capacità che rende le sue operazioni particolarmente difficili da contrastare.