Detección de Ransomware RansomHub: Atacantes Explotan TDSSKiller de Kaspersky para Desactivar Sistemas EDR
Tabla de contenidos:
Justo después de la advertencia conjunta del FBI, CISA y socios sobre un cambio significativo en la actividad del grupo RaaS RansomHub, investigadores de seguridad han detectado el nuevo truco de los adversarios que abusan del software legítimo TDSSKiller de Kaspersky para desactivar los sistemas de detección y respuesta de extremo (EDR). Una vez que han superado las defensas, los atacantes recurren a la herramienta LaZagne, extrayendo detalles de inicio de sesión de bases de datos de aplicaciones para moverse lateralmente en las redes de interés.
Detecta ataques de ransomware RansomHub utilizando TDSSKiller
Con el brote de ransomware manteniéndose tan rampante como siempre en 2024 y las demandas de rescate aumentando cinco veces en el último año, el ransomware los ataques están demostrando ser una amenaza en aumento para las organizaciones globales. Con cada nuevo día trayendo un método novedoso en el libro de jugadas de los atacantes, los adversarios están buscando una manera efectiva de detectar intrusiones potenciales a tiempo. Los defensores cibernéticos podrían confiar en la plataforma SOC Prime para la defensa cibernética colectiva que ofrece un conjunto completo de productos para la detección avanzada de amenazas, ingeniería de detección impulsada por IA y caza de amenazas automatizada. Los usuarios de la plataforma podrían acceder a la última inteligencia sobre amenazas y a reglas de detección curadas para amenazas emergentes publicadas bajo un SLA de 24 horas.
Para detectar posibles ataques de RansomHub que hacen uso de TDSSKiller, consulte la regla Sigma a continuación, que ayuda a identificar el posible mal uso de la utilidad para deshabilitar herramientas de seguridad locales. Para buscar más detecciones relacionadas, use la etiqueta “TDSSKiller” en el Mercado de Detección de Amenazas.
Posible intento de ejecución de utilidad TDSSKiller (a través de línea de comando)
La detección es compatible con 27 soluciones de SIEM, EDR y Data Lake y está mapeada a MITRE ATT&CK abordando la táctica de Evitación de Defensa, con Deshabilitar o Modificar Herramientas (T1562.001) como la sub-técnica correspondiente.
Los expertos en seguridad que buscan más contenido de detección que aborde las TTP de RansomHub pueden hacer clic en el botón Explorar Detecciones a continuación para profundizar inmediatamente en una lista dedicada de reglas Sigma.
Las reglas son compatibles con más de 30 tecnologías SIEM, EDR y Data Lake y están enriquecidas con metadatos accionables y CTI personalizados.
Análisis de Ransomware RansomHub
El 29 de agosto de 2024, el FBI y CISA, en conjunto con otras agencias autoras, emitieron la alerta AA24-242A focalizada en los crecientes ataques contra organismos estatales y organizaciones de infraestructuras críticas, incluyendo agua y aguas residuales, TI, servicios de salud, servicios financieros y comunicaciones. El grupo RansomHub detrás de estos ataques ya ha afectado a más de 210 organizaciones desde su aparición en febrero de 2024. El informe más reciente de Malwarebytes revela que el mismo grupo ahora está abusando del software TDSSKiller de Kaspersky para deshabilitar sistemas EDR.
La herramienta legítima TDSSKiller se utiliza para identificar la presencia de rootkits o bootkits en el sistema. Sin embargo, los operadores de RansomHub están abusando activamente del software para interactuar con servicios a nivel de núcleo usando un script de línea de comandos o archivo por lotes que intenta deshabilitar servicios de seguridad. Dado que TDSKiller es una utilidad legítima, los adversarios pueden pasar desapercibidos sin riesgo de ser detenidos por soluciones de seguridad.
En la siguiente etapa, los atacantes emplean LaZagne para extraer detalles de inicio de sesión almacenados en bases de datos de aplicaciones, navegadores y clientes de correo electrónico para aumentar su capacidad de movimiento lateral dentro de la red infectada.
Para evitar que los atacantes deshabiliten soluciones EDR utilizando herramientas como TDSSKiller, los expertos en seguridad recomiendan habilitar la protección contra manipulaciones dentro del sistema EDR y monitorear el parámetro ‘-dcsvc’, que destaca la deshabilitación o eliminación de servicios. Además, para minimizar los riesgos de los ataques de RansomHub, las agencias aconsejan seguir las pautas del Guía #DetenerRansomware, mejorando la higiene cibernética y probando y validando regularmente los controles de seguridad. Al utilizar el conjunto completo de productos de SOC Prime para la ingeniería de detección impulsada por IA, la caza automatizada de amenazas y la detección avanzada de amenazas, las organizaciones pueden fortalecer sus defensas de ciberseguridad contra las amenazas de ransomware actuales y emergentes.
