Pesquisadores da ESET identificaram uma conexão entre afiliados do grupo de ransomware RansomHub e os grupos Medusa, BianLian e Play, evidenciada pelo uso da ferramenta EDRKillShifter. Esse software é projetado para desativar soluções de segurança antes da execução do ransomware, permitindo que o ataque ocorra sem ser detectado. A técnica utilizada, chamada Bring Your Own Vulnerable Driver (BYOVD), explora drivers legítimos, mas com falhas, para desativar sistemas de defesa. O EDRKillShifter foi documentado pela primeira vez em agosto de 2024, sendo usado pelo RansomHub, mas agora aparece em ataques de outros grupos.

O uso dessa ferramenta em operações fechadas como as do Play e BianLian, que costumam confiar apenas em afiliados de longa data, sugere uma colaboração incomum entre criminosos. A ESET suspeita que um único ator de ameaças, apelidado de QuadSwitcher, esteja por trás desses ataques e tenha laços mais estreitos com o grupo Play.

Além disso, outro afiliado chamado CosmicBeetle foi flagrado utilizando o EDRKillShifter em ataques ligados ao RansomHub e ao falso LockBit. Essa tendência reflete o crescimento de ataques que exploram EDR killers, como o uso do MS4Killer pelo grupo Embargo e do driver malicioso ABYSSWORKER pelo Medusa. Diante desse cenário, especialistas recomendam que empresas ativem a detecção de aplicativos inseguros e evitem a instalação de drivers vulneráveis para impedir que hackers obtenham privilégios administrativos e implantem malware.