ESET Research a révélé, il y a quelques jours, comment RansomHub est devenu le leader des ransomwares ces derniers mois, grâce à un outil spécifique et ses connexions avec d'autres groupes criminels majeurs.
Si LockBit et BlackCat ont été au moins en grande partie neutralisés, RansomHub émerge rapidement comme le nouveau leader des ransomwares, les rançongiciels. Une étude d'ESET Research révèle les connexions troublantes entre ce groupe et d'autres gangs majeurs, ainsi que l'efficacité redoutable de son outil EDRKillShifter, conçu pour neutraliser les protections de sécurité. L'analyse des chercheurs en cybersécurité met en évidence les liens entre RansomHub, Medusa, Play et BianLian, une collusion inquiétante au sein de l'écosystème criminel.
L'émergence de RansomHub, un nouveau géant du ransomware
Le paysage des ransomwares connaît une transformation depuis quelques mois. Nombreux sont les experts, entreprises et observateurs de la cybersécurité à avoir noté une baisse de l'activité. La chute de 35% des paiements de rançons est notable, mais elle est à placer en face du nombre de victimes qui, lui, a augmenté de 15%.
Tout cela est en grande partie dû à l'émergence de RansomHub. « En 2024, deux événements majeurs ont marqué la lutte contre les ransomwares : le retrait des gangs LockBit et BlackCat, et une baisse des paiements de rançons », confirme bien Jakub Soucek, chercheur chez ESET, qui a mené cette enquête.
RansomHub, qui est apparu en 2025, a commencé son recrutement d'affiliés sur le forum RAMP. Et son modèle économique est bien pensé ! Les affiliés reçoivent directement les rançons, puis ils reversent 10% au groupe principal. On peut parler ici d'une approche décentralisée, qui maximise l'efficacité des attaques tout en réduisant les risques pour l'organisation centrale.
Côté cibles, RansomHub joue la carte géopolitique classique. Il s'interdit de lancer des attaques contre les pays de la CEI (l'Azerbaïdjan ou encore la Russie), Cuba, la Corée du Nord et la Chine. Cette autocensure, qui est assez commune dans le milieu des ransomwares, suggère forcément des liens potentiels avec ces régions, notamment avec le groupe nord-coréen Andariel également associé à Play.
EDRKillShifter, l'arme fatale contre les systèmes de sécurité
EDRKillShifter, retenez bien ce nom ! Cet outil, atout majeur de RansomHub, est ce qu'on appelle un « EDR Killer », c'est-à-dire qu'il détruit ces logiciels qui détectent et répondent aux menaces sur les ordinateurs. Très sophistiqué, EDRKillShifter est directement fourni aux affiliés.
« Contrairement aux pratiques habituelles où les affiliés doivent trouver leurs propres moyens d'échapper aux outils de détection, RansomHub fournit directement cet outil à ses partenaires », explique Soucek, qui ajoute que les chercheurs d'ESET ont constaté une augmentation significative de son utilisation.
Ce qui rend EDRKillShifter d'autant plus dangereux, c'est sa méthode d'opération. Il combine un composant en mode utilisateur avec un pilote légitime, mais vulnérable. Une fois le pilote installé, l'outil exploite sa faille pour désactiver les processus de sécurité, laissant le système sans défense face au ransomware qui suit.
Les spécialistes ont noté une utilisation croissante d'EDRKillShifter au-delà des attaques de RansomHub. L'accès des groupes pirates Play et BianLian à cet outil suggère aussi une collaboration entre ces organisations criminelles. Et cette entente a très bien pu être facilitée par des affiliés communs, ou des connexions entre leurs membres. Notons enfin que RansomHub et Play ont notamment été associés au groupe nord-coréen Andariel, ce qui peut donner une idée de qui sont ses supporters.
