RansomHub Ransomware Detection: Attaccanti sfruttano TDSSKiller di Kaspersky per disabilitare i sistemi EDR
Indice:
Subito dopo l’avviso congiunto dell’FBI, CISA e partner che avvertono di un significativo cambiamento nell’attività del gruppo RansomHub RaaS, ricercatori di sicurezza hanno individuato il nuovo trucco degli avversari che abusano del legittimo software TDSSKiller di Kaspersky per disabilitare i sistemi Endpoint Detection and Response (EDR). Una volta superate le difese, gli attaccanti passano a utilizzare lo strumento LaZagne, sottraendo dettagli di accesso dai database delle applicazioni per muoversi lateralmente nelle reti di interesse.
Rilevare Attacchi RansomHub Usando TDSSKiller
Con l’epidemia di ransomware che rimane diffusa come mai nel 2024 e le richieste di riscatto aumentano di cinque volte rispetto all’anno scorso,, gli attacchi ransomware si dimostrano essere una minaccia in escalation per le organizzazioni globali. Con ogni nuovo giorno che porta un metodo innovativo nel libro degli attaccanti, gli avversari cercano un modo efficace per rilevare tempestivamente potenziali intrusioni. I difensori informatici potrebbero fare affidamento su SOC Prime Platform per la difesa informatica collettiva che serve una suite completa di prodotti per il rilevamento avanzato delle minacce, ingegneria della rilevazione basata su IA e ricerca automatizzata delle minacce. Gli utenti della piattaforma possono accedere all’ultimo intel sulle minacce e alle regole di rilevamento curate per le minacce emergenti rilasciate sotto SLA di 24 ore.
Per individuare possibili attacchi RansomHub che sfruttano TDSSKiller, consulta la regola Sigma qui sotto, che aiuta a identificare potenziali abusi dell’utilità per disabilitare strumenti di sicurezza locali. Per cercare rilevamenti più correlati, usa il tag “TDSSKiller” nel Marketplace di Rilevamento delle Minacce.
Tentativo di Esecuzione di Utilità TDSSKiller Possibile (via cmdline)
La rilevazione è compatibile con 27 soluzioni SIEM, EDR e Data Lake e mappata su MITRE ATT&CK indirizzando la tattica di Evasione delle Difese, con disabilitazione o modifica degli strumenti (T1562.001) come tecnica correlata.
I professionisti della sicurezza che cercano più contenuti di rilevamento indirizzati alle TTP di RansomHub possono cliccare sul pulsante Esplora Rilevamenti qui sotto per accedere immediatamente a un elenco dedicato di regole Sigma.
Le regole sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake e arricchite con metadati azionabili e CTI su misura.
Analisi RansomHub Ransomware
Il 29 agosto 2024, l’FBI e il CISA, in collaborazione con altre agenzie autrici, hanno rilasciato l’allerta AA24-242A focalizzata sugli attacchi in crescita contro gli organismi statali e le organizzazioni infrastrutturali critiche, tra cui acqua e acque reflue, IT, sanità, servizi finanziari e comunicazioni. Il gruppo RansomHub dietro questi attacchi ha già colpito oltre 210 organizzazioni dalla sua comparsa nel febbraio 2024. Il più recente rapporto di Malwarebytes rivela che lo stesso gruppo sta ora abusando del software TDSSKiller di Kaspersky per disabilitare i sistemi EDR.
Il legittimo strumento TDSSKiller viene utilizzato per identificare la presenza di rootkit o bootkit sul sistema. Tuttavia, gli operatori di RansomHub stanno attivamente abusando del software per interagire con i servizi a livello di kernel usando uno script da riga di comando o file batch che tenta di disabilitare i servizi di sicurezza. Finché TDSKiller è un’utilità legittima, gli avversari possono agire indisturbati senza correre il rischio di essere fermati da qualsiasi soluzione di sicurezza.
Nella fase successiva, gli attaccanti impiegano LaZagne per estrarre i dettagli di accesso memorizzati nei database delle app, nei browser e nei client e-mail per aumentare la loro capacità di muoversi lateralmente all’interno della rete infettata.
Per evitare che gli attaccanti disabilitino le soluzioni EDR usando strumenti come TDSSKiller, gli esperti di sicurezza raccomandano di abilitare la protezione anti-manomissione all’interno del sistema EDR e di monitorare il parametro ‘-dcsvc’, che evidenzia la disabilitazione o eliminazione dei servizi. Inoltre, per minimizzare i rischi degli attacchi RansomHub, le agenzie consigliano di seguire le linee guida del Guida #StopRansomware, migliorare l’igiene informatica e testare e validare regolarmente i controlli di sicurezza. Utilizzando la suite completa di prodotti SOC Prime per l’ingegneria della rilevazione basata su IA, la ricerca automatizzata delle minacce e il rilevamento avanzato delle minacce, le organizzazioni possono rafforzare le loro difese informatiche contro le minacce ransomware sia attuali sia emergenti.
