Команда Malwarebytes обнаружила,что группировка вымогателей RansomHub использует легитимный инструмент TDSSKiller для отключения EDR-средств на устройстве. Помимо TDSSKiller киберпреступники также используют LaZagne для сбора данных. Эти программы давно известны в среде киберпреступников, однако это первый случай, когда они были задействованы RansomHub.
TDSSKiller , изначально разработанный Лабораторией Касперского для удаления руткитов, был использован для отключения EDR-систем. После проведения разведки и выявления учетных записей с повышенными привилегиями RansomHub попыталась отключить службу защиты MBAMService.
Инструмент запускался из временной директории с использованием динамически созданного имени файла, чтобы усложнить обнаружение. Поскольку TDSSKiller является легитимной программой с действительным сертификатом, многие системы безопасности не распознают действия хакеров как угрозу.
После отключения систем безопасности, RansomHub запустила инструмент LaZagne для сбора учетных данных с заражённых систем. Программа извлекает пароли из различных приложений, таких как браузеры, почтовые клиенты и базы данных, что позволяет злоумышленникам расширять свои привилегии и двигаться по сети. В данном случае цель киберпреступников заключалась в получении доступа к базе данных, что давало возможность контролировать критически важные системы.
Во время атаки LaZagne создала более 60 файлов, большая часть из которых содержала логины и пароли. Для сокрытия следов программы хакеры также удалили некоторые файлы после завершения операции.
Обнаружить LaZagne достаточно просто, так как большинство антивирусов помечают его как вредоносное ПО. Однако если TDSSKiller был использован для отключения систем защиты, то активность программы становится невидимой для большинства инструментов.
ThreatDown призывает организации принимать дополнительные меры предосторожности для защиты от таких атак. В частности, рекомендуется ограничить использование уязвимых драйверов, таких как TDSSKiller, и следить за подозрительными командами, используемыми в системах. Также важно сегментировать сеть и изолировать критически важные системы, чтобы минимизировать риски при компрометации учетных данных.