El grupo de ransomware RansomHub ha encontrado una forma innovadora de desactivar soluciones de detección y respuesta de endpoints (EDR) al abusar de una herramienta legítima de Kaspersky, TDSSKiller. Esta estrategia les permite avanzar en los sistemas comprometidos con mayor facilidad, desplegando herramientas como LaZagne para robar credenciales y moverse lateralmente por las redes.
Desglosando el ataque
La herramienta TDSSKiller, creada por Kaspersky para eliminar rootkits y bootkits, ha sido empleada por RansomHub para desactivar soluciones de seguridad EDR, aprovechando su acceso a los servicios a nivel del kernel. Este tipo de servicios son críticos para monitorear y controlar actividades como el acceso a archivos, la creación de procesos y conexiones de red, proporcionando una protección en tiempo real contra amenazas como el ransomware.
RansomHub utiliza un archivo ejecutable temporal (ubicado en C:\Users\<User>\AppData\Local\Temp\), el cual se ejecuta después de una fase de reconocimiento y escalamiento de privilegios. Al ser una herramienta legítima firmada con un certificado válido, TDSSKiller pasa desapercibido para la mayoría de las soluciones de seguridad, permitiendo al grupo desactivar servicios como Malwarebytes Anti-Malware Service sin ser detectado.
El siguiente paso: robo de credenciales
Después de deshabilitar la protección de seguridad, RansomHub implementa LaZagne, una herramienta conocida por su capacidad para extraer credenciales almacenadas en bases de datos de aplicaciones. Durante el ataque analizado, LaZagne generó 60 archivos, posiblemente registros de las credenciales robadas, que los atacantes intentaron eliminar para ocultar sus huellas.
¿Cómo defenderse?
Si bien detectar LaZagne es relativamente sencillo para la mayoría de las herramientas de seguridad, TDSSKiller complica la defensa. Malwarebytes clasifica esta herramienta como “RiskWare”, un tipo de software que, aunque no es malicioso por sí mismo, puede ser utilizado con fines nefastos. La activación de la protección contra manipulación en las soluciones EDR es clave para impedir que herramientas como TDSSKiller desactiven las defensas. Además, monitorear el uso del parámetro “-dcsvc”, que desactiva o elimina servicios, es crucial para detectar esta actividad.
Conclusión y Recomendaciones
Este incidente subraya la importancia de mantenerse alerta ante el abuso de herramientas legítimas por parte de cibercriminales como RansomHub. Para proteger tus sistemas, asegúrate de activar todas las funciones de protección de tus soluciones EDR y estar al tanto de cualquier uso sospechoso de herramientas como TDSSKiller. Mantén la vigilancia, y recuerda que en ciberseguridad, la prevención y la detección temprana son tus mejores aliados.