Ερευνητές ασφαλείας της Malwarebytes παρατήρησαν ότι η ransomware ομάδα RansomHub χρησιμοποιεί στις επιθέσεις της το εργαλείο TDSSKiller της Kaspersky, για να απενεργοποιήσει τα συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR).
Το TDSSKiller είναι ένα νόμιμο εργαλείο που αναπτύχθηκε από την Kaspersky για την αφαίρεση rootkits. Ωστόσο, το λογισμικό θα μπορούσε επίσης να απενεργοποιήσει λύσεις EDR μέσω ενός command line script ή ενός batch file.
Επιπλέον, η ομάδα ransomware χρησιμοποίησε το εργαλείο LaZagne για τη συλλογή credentials.
Δείτε επίσης: Hazard Ransomware: Η ιστορία μιας αποτυχημένης αποκρυπτογράφησης
“Τόσο το TDSSKiller όσο και το LaZagne έχουν χρησιμοποιηθεί από επιτιθέμενους όλα αυτά τα χρόνια, αλλά αυτή είναι η πρώτη φορά που βλέπουμε τη RansomHub να τα χρησιμοποιεί στις δραστηριότητές της“, αναφέρει η Malwarebytes. “Τα εργαλεία αναπτύχθηκαν μετά από αρχικό reconnaissance και διερεύνηση δικτύου μέσω admin group enumeration“.
TDSSKiller
Η ransomware ομάδα RansomHub χρησιμοποίησε το TDSSKiller της Kaspersky με -dcsvc flag, για να προσπαθήσει να απενεργοποιήσει κρίσιμες υπηρεσίες ασφαλείας, στοχεύοντας συγκεκριμένα την υπηρεσία προστασίας Malwarebytes Anti-Malware Service (MBAMService).
Command line: tdsskiller.exe -dcsvc MBAMService (Σε αυτήν την περίπτωση, οι εισβολείς προσπάθησαν να απενεργοποιήσουν το MBAMService).
RansomHub ransomware
Αυτή η σχετικά νέα επιχείρηση ransomware-as-a-service (RaaS) ξεκίνησε τη λειτουργία της το Φεβρουάριο και ζητά χρήματα από τα θύματα με αντάλλαγμα τη μη διαρροή κλεμμένων αρχείων. Εάν αποτύχουν οι διαπραγματεύσεις, κάνει δημοπρασία και πουλά τα έγγραφα στον πλειοδότη. Η ομάδα επικεντρώνεται κυρίως στον εκβιασμό που βασίζεται στην κλοπή δεδομένων και λιγότερο στην κρυπτογράφηση αρχείων των θυμάτων.
Δείτε επίσης: NoName ransomware: “Συνεργασία” με την ομάδα RansomHub;
Το κακόβουλο λογισμικό στοχεύει πολλές πλατφόρμες, συμπεριλαμβανομένων των Windows, Linux, macOS, ESXi και Android.
Νόμιμα προγράμματα χρησιμοποιούνται από hackers
Αυτή δεν είναι η πρώτη φορά που ειδικοί παρατηρούν τη χρήση του TDSSKiller της Kaspersky από hackers. Πέρα από τη RansomHub, η συμμορία ransomware LockBit είχε, επίσης, χρησιμοποιήσει την παράμετρο -dcsvc του TDSSKiller ως μέρος της αλυσίδας επίθεσής της.
Οι εισβολείς εκμεταλλεύονται νόμιμα εργαλεία στις επιθέσεις τους, επειδή δεν εμποδίζονται από λύσεις ασφαλείας. Ως εκ τούτου, είναι σημαντικό για τους οργανισμούς να ενημερώνουν τακτικά τα μέτρα ασφαλείας τους και να ενημερώνονται για τις πιο πρόσφατες απειλές, προκειμένου να προστατεύονται αποτελεσματικά από επιθέσεις ransomware. Αυτό περιλαμβάνει την εφαρμογή πολυεπίπεδων λύσεων ασφάλειας, την εκπαίδευση των εργαζομένων σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο και τη διενέργεια τακτικών αξιολογήσεων κινδύνου.
Δείτε επίσης: SonicWall: Κρίσιμη ευπάθεια χρησιμοποιείται από ransomware συμμορίες
Επιπλέον, είναι σημαντικό για τους οργανισμούς να διαθέτουν ένα σταθερό σχέδιο αντιμετώπισης περιστατικών σε περίπτωση επίθεσης ransomware. Αυτό θα πρέπει να περιλαμβάνει βήματα για τον περιορισμό και τον μετριασμό της επίθεσης, καθώς και διαδικασίες για την ανάκτηση δεδομένων από αντίγραφα ασφαλείας.
Πηγή: securityaffairs.com
