La banda de ransomware RansomHub utiliza TDSSKiller, una herramienta legítima de Kaspersky, para desactivar los servicios de detección y respuesta de endpoints (EDR) en los sistemas de destino.
Después de desmantelar las defensas, RansomHub implementó la herramienta de recolección de credenciales LaZagne para extraer credenciales de inicio de sesión de varias bases de datos de aplicaciones que podrían ayudar a moverse lateralmente a través de la red.
TDSSKiller abusado en ataques de ransomware
Kaspersky creó TDSSKiller como una herramienta que puede escanear el sistema en busca de rootkits y bootkits, dos tipos de malware que son particularmente difíciles de detectar y pueden evadir las herramientas de seguridad estándar.
Los agentes EDR son soluciones más avanzadas que operan, al menos parcialmente, a nivel de kernel, ya que deben monitorear y controlar las actividades del sistema de bajo nivel, como el acceso a archivos, la creación de procesos y las conexiones de red, brindando protección en tiempo real contra amenazas como ransomware.
Empresa de ciberseguridad Malwarebytes informes que recientemente observaron que RansomHub abusaba de TDSSKiller para interactuar con servicios a nivel de kernel utilizando un script de línea de comandos o un archivo por lotes que deshabilitaba el servicio antimalware Malwarebytes (MBAMService) que se ejecuta en la máquina.
Fuente: Malwarebytes
La herramienta legítima se utilizó después de la fase de reconocimiento y escalada de privilegios, y se ejecutó desde un directorio temporal (‘C:\Users\\AppData\Local\Temp\’) utilizando un nombre de archivo generado dinámicamente (‘{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe’).
Al ser una herramienta legítima firmada con un certificado válido, TDSSKiller no corre el riesgo de que las soluciones de seguridad informen o detengan el ataque RansomHub.
Luego, RansomHub utilizó la herramienta LaZagne para intentar extraer los identificadores almacenados en las bases de datos utilizando LaZagne. En el ataque estudiado por Malwarebytes, la herramienta generó 60 escrituras de archivos que probablemente eran registros de credenciales robadas.
La acción de eliminar un archivo podría ser el resultado de un intento del atacante de ocultar su actividad en el sistema.
Defensa contra TDSSKiller
Detectar LaZagne es sencillo porque la mayoría de las herramientas de seguridad lo marcan como malicioso. Sin embargo, su actividad puede volverse invisible si se utiliza TDSSKiller para desactivar las defensas.
TDSSKiller cae en un área gris, ya que algunas herramientas de seguridad, incluido ThreatDown de Malwarebytes, lo etiquetan como “RiskWare”, lo que también podría ser una señal de alerta para los usuarios.
La empresa de seguridad sugiere habilitar la función de protección antimanipulación en la solución EDR para garantizar que los atacantes no puedan desactivarla con herramientas como TDSSKiller.
Además, monitorear el indicador “-dcsvc”, la configuración que deshabilita o elimina servicios y la ejecución del propio TDSSKiller puede ayudar a detectar y bloquear actividad maliciosa.