Détection de Ransomware RansomHub : Les attaquants exploitent TDSSKiller de Kaspersky pour désactiver les systèmes EDR
Table des matières :
Juste après l’avis conjoint du FBI, de la CISA et de partenaires avertissant d’un changement significatif dans l’activité du groupe RansomHub RaaS, les chercheurs en sécurité ont repéré l’astuce novatrice des adversaires abusant du logiciel légitime TDSSKiller de Kaspersky pour désactiver les systèmes de détection et de réponse aux incidents (EDR). Une fois les défenses contournées, les attaquants se tournent vers l’outil LaZagne pour siphonner les informations de connexion des bases de données d’applications afin de se déplacer latéralement dans les réseaux d’intérêt.
Détecter les attaques de ransomware RansomHub exploitant TDSSKiller
Alors que l’épidémie de ransomware reste aussi omniprésente que jamais en 2024 et les demandes de rançon augmentent de cinq fois par rapport à l’an dernier, les attaques de ransomware s’avèrent être une menace croissante pour les organisations mondiales. Chaque nouveau jour apportant une nouvelle méthode dans le livre de jeu des attaquants, les adversaires cherchent un moyen efficace de détecter les intrusions potentielles à temps. Les cyberdéfenseurs peuvent compter sur la plateforme SOC Prime pour une défense collective contre les cybermenaces offrant une suite complète de produits pour la détection avancée des menaces, l’ingénierie de détection alimentée par l’IA et la chasse aux menaces automatisée. Les utilisateurs de la plateforme peuvent accéder aux dernières informations sur les menaces et aux règles de détection mises à jour pour les menaces émergentes publiées sous SLA de 24 heures.
Pour repérer d’éventuelles attaques RansomHub exploitant TDSSKiller, consultez la règle Sigma ci-dessous, qui aide à identifier une utilisation abusive potentielle de l’utilitaire pour désactiver les outils de sécurité locaux. Pour rechercher plus de détections associées, utilisez le tag “TDSSKiller” dans le Threat Detection Marketplace.
Tentative possible d’exécution de l’utilitaire TDSSKiller (via cmdline)
La détection est compatible avec 27 solutions SIEM, EDR et Data Lake et est mappée à MITRE ATT&CK ciblant la tactique d’évasion de la défense, avec comme sous-technique correspondant la désactivation ou la modification des outils (T1562.001).
Les praticiens de la sécurité à la recherche de plus de contenu de détection adressant les TTPs de RansomHub peuvent cliquer sur le Explore Detections bouton ci-dessous pour accéder immédiatement à une liste dédiée de règles Sigma.
Les règles sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake et sont enrichies de métadonnées exploitables et CTI sur mesure.
Analyse du ransomware RansomHub
Le 29 août 2024, le FBI et la CISA, en collaboration avec d’autres agences auteur, ont publié l’alerte AA24-242A mettant l’accent sur l’augmentation des attaques contre les organismes d’État et les organisations d’infrastructure critique, y compris l’eau et les eaux usées, les technologies de l’information, la santé, les services financiers et les communications. Le groupe RansomHub derrière ces attaques a déjà frappé plus de 210 organisations depuis son émergence en février 2024. Le plus récent rapport par Malwarebytes révèle que le même groupe abuse désormais du logiciel TDSSKiller de Kaspersky pour désactiver les systèmes EDR.
L’outil légitime TDSSKiller est utilisé pour identifier la présence de rootkits ou de bootkits sur le système. Pourtant, les opérateurs de RansomHub abusent activement du logiciel pour interagir avec les services au niveau du noyau à l’aide d’un script de ligne de commande ou d’un fichier de commandes qui tente de désactiver les services de sécurité. Tant que TDSKiller reste un utilitaire légitime, les adversaires peuvent naviguer sous le radar sans aucun risque d’être arrêtés par n’importe quelle solution de sécurité.
À l’étape suivante, les attaquants utilisent LaZagne pour extraire les informations de connexion stockées dans les bases de données d’applications, navigateurs et clients de messagerie pour renforcer leur capacité à se déplacer latéralement à l’intérieur du réseau infecté.
Pour empêcher les attaquants de désactiver les solutions EDR en utilisant des outils comme TDSSKiller, les experts en sécurité recommandent d’activer la protection anti-sabotage au sein du système EDR et de surveiller le paramètre ‘-dcsvc’, qui met en évidence la désactivation ou la suppression des services. De plus, pour minimiser les risques d’attaques de RansomHub, les agences conseillent de suivre les conseils du #StopRansomware Guide, d’améliorer l’hygiène cybersécuritaire, et de tester et valider régulièrement les contrôles de sécurité. En utilisant la suite de produits complète de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée, et la détection avancée des menaces, les organisations peuvent renforcer leurs défenses en cybersécurité contre les menaces de ransomwares actuelles et émergentes.
