RansomHub aprovecha herramienta de Kaspersky para desactivar soluciones de seguridad

El grupo de ransomware RansomHub ha encontrado una forma innovadora de desactivar soluciones de detección y respuesta de endpoints (EDR) al abusar de una herramienta legítima de Kaspersky, TDSSKiller. Esta estrategia les permite avanzar en los sistemas comprometidos con mayor facilidad, desplegando herramientas como LaZagne para robar credenciales y moverse lateralmente por las redes.

Desglosando el ataque

La herramienta TDSSKiller, creada por Kaspersky para eliminar rootkits y bootkits, ha sido empleada por RansomHub para desactivar soluciones de seguridad EDR, aprovechando su acceso a los servicios a nivel del kernel. Este tipo de servicios son críticos para monitorear y controlar actividades como el acceso a archivos, la creación de procesos y conexiones de red, proporcionando una protección en tiempo real contra amenazas como el ransomware.

RansomHub utiliza un archivo ejecutable temporal (ubicado en C:\Users\<User>\AppData\Local\Temp\), el cual se ejecuta después de una fase de reconocimiento y escalamiento de privilegios. Al ser una herramienta legítima firmada con un certificado válido, TDSSKiller pasa desapercibido para la mayoría de las soluciones de seguridad, permitiendo al grupo desactivar servicios como Malwarebytes Anti-Malware Service sin ser detectado.

El siguiente paso: robo de credenciales

Después de deshabilitar la protección de seguridad, RansomHub implementa LaZagne, una herramienta conocida por su capacidad para extraer credenciales almacenadas en bases de datos de aplicaciones. Durante el ataque analizado, LaZagne generó 60 archivos, posiblemente registros de las credenciales robadas, que los atacantes intentaron eliminar para ocultar sus huellas.

¿Cómo defenderse?

Si bien detectar LaZagne es relativamente sencillo para la mayoría de las herramientas de seguridad, TDSSKiller complica la defensa. Malwarebytes clasifica esta herramienta como “RiskWare”, un tipo de software que, aunque no es malicioso por sí mismo, puede ser utilizado con fines nefastos. La activación de la protección contra manipulación en las soluciones EDR es clave para impedir que herramientas como TDSSKiller desactiven las defensas. Además, monitorear el uso del parámetro “-dcsvc”, que desactiva o elimina servicios, es crucial para detectar esta actividad.

Conclusión y Recomendaciones

Este incidente subraya la importancia de mantenerse alerta ante el abuso de herramientas legítimas por parte de cibercriminales como RansomHub. Para proteger tus sistemas, asegúrate de activar todas las funciones de protección de tus soluciones EDR y estar al tanto de cualquier uso sospechoso de herramientas como TDSSKiller. Mantén la vigilancia, y recuerda que en ciberseguridad, la prevención y la detección temprana son tus mejores aliados.

 

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.