RansomHub Ransomware-Erkennung: Angreifer nutzen Kasperskys TDSSKiller zur Deaktivierung von EDR-Systemen
Inhaltsverzeichnis:
Unmittelbar nach dem gemeinsamen Hinweis von FBI, CISA und Partnern zur Warnung vor einem signifikanten Wechsel in der Aktivität der RansomHub RaaS-Gruppe, haben Sicherheitsforscher den neuartigen Trick der Angreifer entdeckt, die Kasperskys legitime TDSSKiller-Software missbrauchen, um Endpoint Detection and Response (EDR)-Systeme zu deaktivieren. Sobald sie die Abwehrmaßnahmen umgangen haben, greifen die Angreifer auf das LaZagne-Tool zurück, um Anmeldedaten aus Anwendungsdatenbanken zu extrahieren und sich lateral in den Netzwerken von Interesse zu bewegen.
Erkennen von RansomHub-Ransomware-Angriffen unter Verwendung von TDSSKiller
Da der Ransomware-Ausbruch 2024 so unaufhörlich wie eh und je bleibt und Lösegelder im letzten Jahr um das Fünffache gestiegen sind, Ransomware Angriffe erweisen sich als eskalierende Bedrohung für globale Organisationen. Mit jedem neuen Tag, der eine neue Methode im Spielbuch der Angreifer bringt, suchen die Gegner nach einem effektiven Weg, um potenzielle Eindringlinge rechtzeitig zu erkennen. Cyber-Verteidiger könnten sich auf SOC Prime Platform für kollektive Cyberabwehr verlassen, die eine vollständige Produktsuite für fortschrittliche Bedrohungserkennung, KI-gesteuertes Detection Engineering und automatisierte Bedrohungsjagd bietet. Plattformnutzer können auf die neuesten Bedrohungsinformationen und kuratierten Erkennungsregeln für aufkommende Bedrohungen zugreifen, die unter einem 24-Stunden-SLA veröffentlicht werden.
Um mögliche RansomHub-Angriffe unter Verwendung von TDSSKiller zu erkennen, sehen Sie sich die Sigma-Regel unten an, die hilft, potenziellen Missbrauch des Tools zur Deaktivierung lokaler Sicherheitstools zu identifizieren. Um nach weiteren verwandten Erkennungen zu suchen, verwenden Sie das “TDSSKiller” Tag im Threat Detection Marketplace.
Möglicher Versuch der TDSSKiller-Dienstprogramm-Ausführung (über cmdline)
Die Erkennung ist mit 27 SIEM-, EDR- und Data-Lake-Lösungen kompatibel und wird auf MITRE ATT&CK abgebildet, um die Verteidigungsvermeidungstaktik zu adressieren, mit Deaktivieren oder Modifizieren von Tools (T1562.001) als entsprechende Sub-Technik.
Sicherheitspraktiker, die nach weiteren Erkennungsinhalten suchen, die sich auf RansomHub TTPs beziehen, können auf die Schaltfläche Erkennungen erkunden unten klicken, um sofort zu einer dedizierten Liste von Sigma-Regeln zu gelangen.
Die Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel und mit umsetzbaren Metadaten und maßgeschneiderten CTI angereichert.
RansomHub-Ransomware-Analyse
Am 29. August 2024 veröffentlichten das FBI und die CISA zusammen mit anderen autorisierenden Agenturen die AA24-242A-Warnung fokussiert auf die wachsenden Angriffe gegen Staatsorgane und kritische Infrastrukturogranisationen, einschließlich Wasser- und Abwasserversorgung, IT, Gesundheitswesen, Finanzdienstleistungen und Kommunikation. Die RansomHub-Gruppe hinter diesen Angriffen hat seit ihrem Auftreten im Februar 2024 bereits über 210 Organisationen getroffen. Der jüngste Bericht von Malwarebytes zeigt, dass dieselbe Gruppe nun Kasperskys TDSSKiller-Software missbraucht, um EDR-Systeme zu deaktivieren.
Das legitime TDSSKiller-Tool wird verwendet, um das Vorhandensein von Rootkits oder Bootkits auf dem System zu identifizieren. Doch RansomHub-Operatoren missbrauchen die Software aktiv, um mit Hilfe eines Befehlszeilenskripts oder einer Batch-Datei, die versucht, Sicherheitsdienste zu deaktivieren, mit Kernel-Diensten zu interagieren. Solange TDSKiller ein legitimes Dienstprogramm ist, können Gegner unentdeckt bleiben, ohne Gefahr zu laufen, von Sicherheitslösungen gestoppt zu werden.
In der nächsten Phase setzen Angreifer LaZagne ein, um Anmeldedaten, die in Anwendungsdatenbanken, Browsern und E-Mail-Clients gespeichert sind, zu extrahieren, um ihre Fähigkeit zu verbessern, sich lateral im infizierten Netzwerk zu bewegen.
Um zu verhindern, dass Angreifer EDR-Lösungen mit Tools wie TDSSKiller deaktivieren, empfehlen Sicherheitsexperten, den Manipulationsschutz innerhalb des EDR-Systems zu aktivieren und den ‚-dcsvc‘-Parameter zu überwachen, der das Deaktivieren oder Löschen von Diensten hervorhebt. Zusätzlich empfehlen Behörden, um die Risiken von RansomHub-Angriffen zu minimieren, den Richtlinien im #StopRansomware-Leitfadenzu folgen, die Cyberhygiene zu verbessern und regelmäßig die Sicherheitskontrollen zu testen und zu validieren. Durch die Nutzung von SOC Primes vollständiger Produktsuite für KI-gestütztes Detection Engineering, automatisierte Bedrohungssuche und erweiterte Bedrohungserkennung können Organisationen ihre Cybersicherheitsabwehr sowohl gegen aktuelle als auch gegen aufkommende Ransomware-Bedrohungen stärken.
