Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Антивирус TDSSKiller в руках вымогателей RansomHub

11/09/24

hack71-Sep-11-2024-10-57-45-0256-AM

Команда Malwarebytes обнаружила, что группировка вымогателей RansomHub использует легитимный инструмент TDSSKiller для отключения EDR-средств на устройстве. Помимо TDSSKiller киберпреступники также используют LaZagne для сбора данных. Эти программы давно известны в среде киберпреступников, однако это первый случай, когда они были задействованы RansomHub, пишет Securitylab.

TDSSKiller, изначально разработанный Лабораторией Касперского для удаления руткитов, был использован для отключения EDR-систем. После проведения разведки и выявления учетных записей с повышенными привилегиями RansomHub попыталась отключить службу защиты MBAMService.

Инструмент запускался из временной директории с использованием динамически созданного имени файла, чтобы усложнить обнаружение. Поскольку TDSSKiller является легитимной программой с действительным сертификатом, многие системы безопасности не распознают действия хакеров как угрозу.

После отключения систем безопасности, RansomHub запустила инструмент LaZagne для сбора учетных данных с заражённых систем. Программа извлекает пароли из различных приложений, таких как браузеры, почтовые клиенты и базы данных, что позволяет злоумышленникам расширять свои привилегии и двигаться по сети. В данном случае цель киберпреступников заключалась в получении доступа к базе данных, что давало возможность контролировать критически важные системы.

Во время атаки LaZagne создала более 60 файлов, большая часть из которых содержала логины и пароли. Для сокрытия следов программы хакеры также удалили некоторые файлы после завершения операции.

Обнаружить LaZagne достаточно просто, так как большинство антивирусов помечают его как вредоносное ПО. Однако если TDSSKiller был использован для отключения систем защиты, то активность программы становится невидимой для большинства инструментов.

ThreatDown призывает организации принимать дополнительные меры предосторожности для защиты от таких атак. В частности, рекомендуется ограничить использование уязвимых драйверов, таких как TDSSKiller, и следить за подозрительными командами, используемыми в системах. Также важно сегментировать сеть и изолировать критически важные системы, чтобы минимизировать риски при компрометации учетных данных.

Темы:ПреступленияMalwarebytesВымогателиантивирусыRansomHub
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Можно ли обойтись без потокового антивируса в NGFW?
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    NGFW помимо других модулей обработки трафика включают в себя и потоковый антивирус – технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...